終端應用程序現鼠标懸停漏洞, 可通過DNS請求洩露用戶敏感信息

發布日期:2017-09-21首頁 > 安全資(zī)訊

iTerm2 是一(yī)款頗受 Mac 開(kāi)發人員(yuán)歡迎的終端應用程序,甚至取代了蘋果官方終端應用的地位。然而,研究人員(yuán)首次于去(qù)年在 iTerm2 3.0.0 版本中(zhōng)發現一(yī)處鼠标懸停漏洞,即當用戶将鼠标懸停在 iTerm2 終端的任何内容時,該程序将嘗試确定字段是否存在有效 URL,并将其作爲可點擊鏈接突出顯示。此外(wài),爲避免使用不準确的字符串模式匹配算法、創建不可用鏈接,該功能還使用了 DNS 請求确定域名是否真實存在。随後,iTerm2 開(kāi)發人員(yuán)立即升級應用至 3.0.13 版本,允許用戶自行關閉 “ DNS 查詢 ” 功能。不過,系統在默認情況下(xià)仍開(kāi)啓該功能權限。
 

8677-1F921131623146.png
 

  荷蘭開(kāi)發人員(yuán) Peter van Dijk 指出,iTerm2 鼠标懸停漏洞除此前出現的問題外(wài),還包括通過 DNS 請求洩露用戶賬号、密碼、API 密鑰等敏感信息。DNS 請求是明文通信,意味着任何能夠攔截這些請求的用戶都可訪問 iTerm 終端中(zhōng)經過鼠标懸停的所有數據。
 

8677-1F921131623146.png
 

  這一(yī)次,iTerm2 開(kāi)發人員(yuán)在了解問題的嚴重程度後深表歉意,并立即發布 iTerm2 3.1.1 版本解決問題。目前,研究人員(yuán)提醒使用 iTerm2 舊(jiù)版本的用戶更新至最新版本,以确保自身隐私安全。如果用戶更新至3.0.13 版本時,可通過相關步驟修改選項、确保系統安全。即打開(kāi) “ Preferences ⋙ Advanced ⋙ Semantic History ” 後将 “ Perform DNS lookups to check if URLs are valid? ” 選項改爲 “ NO ” 。