image

Ernstig lek in macOS terminal emulator iTerm2 gepatcht

donderdag 10 oktober 2019, 11:01 door Redactie, 5 reacties

Er is een ernstig beveiligingslek in de populaire macOS terminal emulator iTerm2 gepatcht. Via de kwetsbaarheid had een aanvaller in bepaalde gevallen commando's op het systeem van de gebruiker kunnen uitvoeren. Via een terminal emulator kan er verbinding met een remote server worden gemaakt.

Systeembeheerders en ontwikkelaars maken er onder andere gebruik van. De kwetsbaarheid bleek al zeven jaar in de code van iTerm2 aanwezig te zijn en werd gevonden dankzij een security-audit die via het Mozilla Open Source Support Program (MOSS) werd gefinancierd. Via het MOSS-initiatief wil Mozilla opensourceprojecten financieel ondersteunen.

De kwetsbaarheid in iTerm2 maakt het mogelijk voor een aanvaller die uitvoer in de terminal van de gebruiker kan produceren om commando's op het systeem van de gebruiker uit te voeren. Er zijn verschillende manieren waarop de kwetsbaarheid is te misbruiken, bijvoorbeeld wanneer een gebruiker verbinding maakt met een SSH-server van de aanvaller of via cURL een malafide url of een logbestand opvraagt.

"Dit is een ernstig beveiligingsprobleem omdat het in sommige gevallen een aanvaller commando's op je machine laat uitvoeren wanneer je een bestand bekijkt of invoer ontvangt die ze in iTerm2 hebben gemaakt", zegt George Nachman, de ontwikkelaar van de terminal emulator.

"Dit beveiligingslek vereist enige gebruikersinteractie of trucerij; maar omdat het is te misbruiken via commando's die over het algemeen als veilig worden beschouwd zijn er grote zorgen over de mogelijke impact", zegt Mozillas Tom Ritter. Gebruikers van iTerm2 krijgen het advies om te updaten naar versie 3.3.6. Dit kan via de updatefunctie van de software. In onderstaande video wordt de kwetsbaarheid gedemonstreerd.

Image

Reacties (5)
10-10-2019, 12:22 door Anoniem
Is dit in de nieuwe versie van Mac os Catalina gepatcht?.
10-10-2019, 13:31 door Anoniem
Door Anoniem: Is dit in de nieuwe versie van Mac os Catalina gepatcht?.

iTerm2 is een third party product, heeft dus niets met de OSX versie te maken.
10-10-2019, 13:43 door Joep Lunaar
I
Door Anoniem: Is dit in de nieuwe versie van Mac os Catalina gepatcht?.

Dit betreft een "third party" app en niet het met macOS meegeleverde Terminal.app (ook een prima terminal).
10-10-2019, 13:50 door Briolet
Door Joep Lunaar: Dit betreft een "third party" app en niet het met macOS meegeleverde Terminal.app…

Inderdaad. Het is een programma die niet eens in de appstore van Apple staat. Hij is alleen bij de ontwikkelaars van de app te downloaden. Ik kende hem niet.

Waarom er staat dat het een populaire app is, weet ik ook niet. Hij zal hooguit populair zijn bij ontwikkelaars en niet bij de grote massa Apple gebruikers. Die zullen de meegeleverde terminal pakken als ze een keer zoiets nodig hebben.
11-10-2019, 09:18 door Anoniem
Door Briolet:
Door Joep Lunaar: Dit betreft een "third party" app en niet het met macOS meegeleverde Terminal.app…

Inderdaad. Het is een programma die niet eens in de appstore van Apple staat. Hij is alleen bij de ontwikkelaars van de app te downloaden. Ik kende hem niet.

Waarom er staat dat het een populaire app is, weet ik ook niet. Hij zal hooguit populair zijn bij ontwikkelaars en niet bij de grote massa Apple gebruikers. Die zullen de meegeleverde terminal pakken als ze een keer zoiets nodig hebben.

Dat klopt dus niet, veel engineers gebruiken liever iTerm2 dan de standaard terminal van OS X omdat iTerm2 veel meer opties biedt en prettiger werkt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.