欢迎来到淫淫网网,我们因为缘分而相聚。请记住我们的网址:exepc.com。淫淫网网提供更多更好看的东东都在这里

摘要: "span style=color: rgb(0, 176, 80);"** Mac 上的开发者可能非常

你的终端是安全的吗?iTerm2 中可能通过 DNS 请求泄漏隐私信息

Mac 上的开发者可能非常熟悉 iTerm2 这款终端应用程序,甚至已经用它取代了 Apple 官方终端应用的地位。但就在今天之前,iTerm2中还存在一个严重级别的安全问题——这个问题出现在自动检查功能上的DNS请求中,可能泄露终端内部分内容。相关的用户请务必及时升级版本至最新的 3.0.13 版本,并关闭某些设置。

这个功能能够查询鼠标悬停在 iTerm2 终端内的文本内容,在 iTerm 3.0.0 版中首次引入。也就是说,用户悬停在某个“词汇内容”上的的时候,iTerm2 会自动调查这个“内容”是不是一个有效的URL并自动添加高亮。为了避免通过使用不准确的字符串模式匹配算法创建死链接,该功使用了 DNS 请求来确定这个域名是否真实存在。

意外出现:用户密码以及 API key 被发至 DNS 服务器上

现在的问题在于——应用这个功能的时候,如果用户将鼠标悬停在密码,API密钥,用户名或其他敏感内容的时候,这些内容也会不经意地通过DNS请求泄漏。而我们知道,DNS请求是明文通信,意味着任何能够拦截这些请求的用户都可以访问 iTerm终端中经过鼠标悬停的敏感数据。

而如果查看这个版本的发布信息,我们看到 iTerm2 的 3.0.0 版本是在2016年7月4日发布,这意味着在过去一年中,在不知情的情况下,也许许多用户都将敏感内容泄露给了 DNS 服务器。

iTerm2 开发者致歉

iTerm2 此次信息泄漏事件在10个月之前首次发现。iTerm2的开发者立即在iTerm3.0.13版本中增加了一个选项,让用户可以关闭这个“DNS查询功能”。但新版本中仍然默认将该功能打开。

PowerDNS 的软件工程师 Peter van Dijk 指出除了之前的问题,iTerm2 中还有其他隐私泄露没有得到足够的重视。

iTerm2 以普通文本的形式发送了很多信息(包括密码)到我的ISP DNS服务器上。

今天他也发布了相关的 漏洞报告 来向大家阐述这个问题的严重性。

目前开发者也意识到了这个问题可能导致的后果,并立即发布了 iTerm3.1.1版本进行修复。他对于自己未经深思熟虑、默认启用此功能,向开发者们表示歉意。

没有什么借口,我没有足够重视安全问题。我为我的过失道歉,并且今后一定更加谨慎。你们的隐私安全会是我之后最优先考虑的问题。

目前能够提供的建议是:使用3.0.0和3.0.12之间 iTerm2 版本的用户请至少更新至3.0.13版,然后可以通过

  “Preferences ? Advanced ? Semantic History”中将“Perform DNS lookups to check if URLs are valid?” 这个选项改为“NO”。

本文作者Elaine,转载请注明来自FreeBuf.COM