欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

iTerm2中通过DNS请求可能会泄漏用户隐私信息,您的系统终端是可靠的么?

来源:本站整理 作者:佚名 时间:2017-09-20 TAG: 我要投稿

Mac 上的开发者能够异常认识 iTerm2 这款终端利用程序,乃至已经用它代替了 Apple 民间终端利用的位置。但就在本日以前,iTerm2中还存在一个严重级其余网安成绩——这个成绩呈如今主动反省功效上的DNS哀求中,能够透露终端内部门内容。。相干的用户请务必实时进级至3.0.13及以上版本,并封闭某些设置。
这个功效能够或许查问鼠标悬停在 iTerm2 终端内的文本内容,在 iTerm 3.0.0 版中初次引入。也就是说,用户悬停在某个“词汇内容”上的的时刻,iTerm2 会主动查问拜访这个“内容”是否是一个有用的URL并主动增加高亮。为了防止经由过程利用不准确的字符串形式婚配算法创立死链接,该功利用了 DNS 哀求来肯定这个域名能否实在存在。

不测呈现:用户暗码和 API key 被发至 DNS 服务器上
如今的成绩在于——利用这个功效的时刻,假如用户将鼠标悬停在暗码,API密钥,用户名或其余敏感内容的时刻,这些内容也会不经意地经由过程DNS哀求透露。而咱们晓得,DNS哀求是明文通讯,意味着任何能够或许拦阻这些哀求的用户都能够拜访 iTerm终端中颠末鼠标悬停的敏感数据。
而假如检查这个版本的宣布信息,咱们看到 iTerm2 的 3.0.0 版本是在2016年7月4日宣布,这意味着在曩昔一年中,在不知情的情况下,也许许多用户都将敏感内容透露给了 DNS 服务器。
iTerm2 开发者道歉
iTerm2 这次信息透露变乱在10个月以前初次发明。iTerm2的开发者立刻在iTerm3.0.13版本中增加了一个选项,让用户能够封闭这个“DNS查问功效”。但新版本中仍旧默许将该功效关上。
 PowerDNS 的软件工程师 Peter van Dijk 指出除以前的成绩,iTerm2 中另有其余隐衷透露没有获得充足的看重。
iTerm2 以通俗文本的情势发送了许多信息(包含暗码)到我的ISP DNS服务器上。
本日他也宣布了相干的 漏洞破绽bug申报 来向人人论述这个成绩的严重性。
今朝开发者也认识到了这个成绩能够招致的效果,并立刻宣布了 iTerm3.1.1版本停止修复。他对付本身未经深图远虑、默许启用此功效,向开发者们表现歉意。
没有甚么托言,我没有充足看重网安成绩。我为我的差错报歉,而且往后必定加倍谨严。你们的隐衷网安会是我以后最优先斟酌的成绩。

今朝能够或许供给的倡议是:利用3.0.0和3.0.12之间 iTerm2 版本的用户请至多更新至3.0.13版,而后能够经由过程 “Preferences ⋙ Advanced ⋙ Semantic History”中将“Perform DNS lookups to check if URLs are valid?” 这个选项改成“NO”。

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载