iTerm2 терминалының эмуляторында macOS үшін жеті жылдық осалдық табылды

Mozilla компаниясы демеушілік көрсеткен, қауіпсіздік аудиті барысында – macOS терминалының кіріктірілген қосымшасы үшін ашық бастапқы коды бар ең танымал баламалардың бірі - macOS үшін iTerm2 терминалының эмуляторы қосымшасында 7 жылдық аса маңызды осалдығы анықталды. CVE-2019-9535 проблемасы tmux iTerm2 интеграция функциясында болады. Бұл осалдықты пайдалану зиянкеске ерікті командаларды орындауға мүмкіндік береді.

Осалдық зиянды мазмұнды енгізу үшін командалық жолдың қызметтік бағдарламаларын алдау жолымен пайдаланылуы мүмкін және осылайша жүйеде ерікті командаларды орындауы мүмкін.

«Әдетте, бұл осалдық пайдаланушымен өзара іс-қимылдың немесе қулықтың кейбір деңгейін талап етеді; бірақ оны әдетте қауіпсіз деп саналатын командалардың көмегімен пайдалануға болатындықтан, әуелетті әсер ету бойынша елеулі қауіптер бар»,- деп ескертеді Mozilla компаниясы.

Осалдық iTerm2 3.3.5 және төмен нұсқаларын қозғайды және iTerm2 3.3.6 нұсқасында түзетілді.

Көрсетілімді бейнероликте көрсетілгендей, осы осалдықты пайдаланудың әуелетті тәсілдері бақылаудағы зиянкеске SSH-серверге қосылуды, зиянды web-сайтты шығару үшін curl командасын немесе зиянды контентті қамтитын лог файлын қадағалау үшін tail-f командасын пайдалануды қамтиды.

Толығырақ: https://www.securitylab.ru/news/501692.php