macOS向け端末エミュレータ「iTerm2」に深刻な脆弱性
macOS向けのターミナルエミュレータ「iTerm2」にリモートよりコマンドを実行されるおそれがある深刻な脆弱性が見つかった。
「同3.3.5」および以前のバージョンにおいて、tmux統合機能に任意のコマンドを実行されるおそれがある深刻な脆弱性「CVE-2019-9535」が明らかとなったもの。「Mozillaオープンソースサポートプログラム(MOSS)」による資金援助のもと、発見されたという。
攻撃者がターミナルに出力することで脆弱性を悪用することが可能。Mozillaは、脆弱性の悪用にユーザーの介在をある程度必要としたり、トリッキーな技術が必要とする一方、一般的に安全と考えられているコマンドを介して悪用される可能性もあるとし、潜在的な脅威へ注意を払う必要があるとしている。
開発者は、緩和策を備えた「同3.3.6」がリリースした。CERT/CCは、iTerm2においてtmux統合機能は無効化できず、完全な解決策は提供されていないと指摘。開発者が示したベストプラクティスを講じるよう求めている。
(Security NEXT - 2019/10/10 )
ツイート
PR
関連記事
データ分析可視化製品「Ivanti Xtraction」に複数脆弱性
「FortiOS」に複数脆弱性 - アップデートで修正
「Microsoft Defender」に権限昇格の脆弱性 - 修正を実施
「Firefox」にクリティカル脆弱性 - 攻撃コード公開、悪用は未確認
「nginx」に複数脆弱性、「クリティカル」も - 修正版を公開
「Dell PowerFlex」に深刻な脆弱性 - 6月の更新で修正済み
米CISA、「FortiSandbox」「SharePoint」の脆弱性悪用を警告
「SAP」が月例更新、16件の新規アドバイザリ - 3件が「クリティカル」
「Oracle EBS」やビル設備向けプロトコルの脆弱性を悪用する攻撃
「Veeam Updater」に権限昇格の脆弱性 - root権限取得のおそれ
