macOS向け端末エミュレータ「iTerm2」に深刻な脆弱性
macOS向けのターミナルエミュレータ「iTerm2」にリモートよりコマンドを実行されるおそれがある深刻な脆弱性が見つかった。
「同3.3.5」および以前のバージョンにおいて、tmux統合機能に任意のコマンドを実行されるおそれがある深刻な脆弱性「CVE-2019-9535」が明らかとなったもの。「Mozillaオープンソースサポートプログラム(MOSS)」による資金援助のもと、発見されたという。
攻撃者がターミナルに出力することで脆弱性を悪用することが可能。Mozillaは、脆弱性の悪用にユーザーの介在をある程度必要としたり、トリッキーな技術が必要とする一方、一般的に安全と考えられているコマンドを介して悪用される可能性もあるとし、潜在的な脅威へ注意を払う必要があるとしている。
開発者は、緩和策を備えた「同3.3.6」がリリースした。CERT/CCは、iTerm2においてtmux統合機能は無効化できず、完全な解決策は提供されていないと指摘。開発者が示したベストプラクティスを講じるよう求めている。
(Security NEXT - 2019/10/10 )
ツイート
PR
関連記事
Perl向け暗号ライブラリ「CryptX」に複数脆弱性
監視ソフト「IBM Tivoli Monitoring」にRCE脆弱性 - 早急に更新を
掲示板ツール「vBulletin」に深刻な脆弱性 - 実証コードや悪用も
ZohoのExchange監視ツールに深刻な脆弱性 - アップデートを
「Wazuh」や「Windows WEBDAV」の脆弱性悪用に注意
「Firefox」に脆弱性、アップデートを公開 - 「クリティカル」との評価も
「Adobe Commerce」に緊急対応必要な脆弱性 - 「Magento」も注意
Adobe、複数製品にアップデート - 250件以上の脆弱性を解消
Pythonの「tarfile」モジュールに脆弱性 - クリティカルも
「M365 Copilot」に情報漏洩の深刻な脆弱性 - すでに修正済み
