终端应用程序 iterm2 可通过 dns 请求泄露用户敏感信息
2017-09-21 10:52:30
iterm2 是一款颇受 mac 开发人员欢迎的终端应用程序,甚至取代了苹果官方终端应用的地位。然而,研究人员首次于去年在 iterm2 3.0.0 版本中发现一处鼠标悬停漏洞,即当用户将鼠标悬停在 iterm2 终端的任何内容时,该程序将尝试确定字段是否存在有效 url,并将其作为可点击链接突出显示。此外,为避免使用不准确的字符串模式匹配算法、创建不可用链接,该功能还使用了 dns 请求确定域名是否真实存在。随后,iterm2 开发人员立即升级应用至 3.0.13 版本,允许用户自行关闭 “ dns 查询 ” 功能。不过,系统在默认情况下仍开启该功能权限。
9 月 19 日,hackernews.cc 得到消息,荷兰开发人员 指出,iterm2 鼠标悬停漏洞除此前出现的问题外,还包括通过 dns 请求泄露用户账号、密码、api 密钥等敏感信息。dns 请求是明文通信,意味着任何能够拦截这些请求的用户都可访问 iterm 终端中经过鼠标悬停的所有数据。
这一次,iterm2 开发人员在了解问题的严重程度后深表歉意,并立即发布 iterm2 3.1.1 版本解决问题。目前,研究人员提醒使用 iterm2 旧版本的用户更新至最新版本,以确保自身隐私安全。如果用户更新至3.0.13 版本时,可通过相关步骤修改选项、确保系统安全。即打开 “ preferences ⋙ advanced ⋙ semantic history ” 后将 “ perform dns lookups to check if urls are valid? ” 选项改为 “ no ” 。
原作者:catalin cimpanu,编译:青楚
本文由 翻译整理,封面来源于网络;转载请注明“转自 hackernews.cc ” 并附上原文链接。
【转自】
本站系本网编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、凯发娱乐的版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容![声明]本站文章凯发娱乐的版权归原作者所有 内容为作者个人观点 本站只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权
官方微信