中国之外的开发商也都使用了这一技术框架,这个漏洞可以让攻击者在使用者电脑上执行命令

  • 栏目:基础 时间:2020-04-09 12:59
<返回列表

此漏洞会允许攻击者在用户电脑上远程执行命令,Mozilla 提醒用户应该立即主动升级软件。

iTerm2是非常流行的终端模拟器,被许多开发者与系统管理员广泛使用,不少人甚至会用它来处理一些不受信任的数据,因此MOSS(Mozilla Open Source Support Program)这次选了iTerm2,并委托ROS(Radially Open Security)进行安全审核工作。

北京时间1月30日消息,据国外网站Ibtimes报道,知名网络安全公司FireEye日前警告称,由于一款名为“JSPatch”、可帮助开发者修改应用程序的软件上存在安全漏洞,导致苹果应用商店内1000多款使用了该框架的iOS应用处于黑客攻击危险之中。

韦德体育 1

据了解,这个漏洞在iTerm2中已存在长达7年,目前分配到的编号为CVE-2019-9535。这个漏洞可以让攻击者在使用者电脑上执行命令。

FireEye称,在苹果iOS应用商店内有1220款应用可能会受此影响。FireEye未透露这些应用的具体名称,但其已通知了这些应用的开发商。FireEye警告称,尽管JSPatch技术对于iOS开发十分有用,但如果被黑客利用,可能给用户带来巨大风险。

iTerm2 是非常流行的终端模拟器,被许多开发者与系统管理员广泛使用,不少人甚至会用它来处理一些不受信任的数据,因此 MOSS(Mozilla Open Source Support Program) 这次选了 iTerm2,并委托 ROS(Radially Open Security)进行安全审核工作。

说起漏洞,iTerm2这个重大的安全漏洞由MOSS资助的安全审核团队发现,MOSS于2015年成立,从那时起就开始为开源开发者提供资金支持、协助开源与自由软件的发展。同时还支持开源技术的安全审核,MOSS的资金正是来自Mozilla基金会,以确保开源生态健康发展。

据悉,开源软件JSPatch上存在的安全漏洞,可致黑客随意访问用户设备当中的照片、麦克风和剪贴板数据以及其他涉及个人隐私的功能。

据了解,这个漏洞在 iTerm2 中已存在长达 7 年,目前分配到的编号为 CVE-2019-9535。这个漏洞可以让攻击者在使用者电脑上执行命令。

ROS发现iTerm2中的tmux整合功能有严重的漏洞,而且漏洞至少已经存在7年。简单来说,在大多数情况下,允许攻击者可对终端产生输出,也就是能在用户的电脑上执行命令。ROS提供了攻击的demo,而视频内容主要是进行表达概念性验证,因此当用户连接到恶意的SSH服务器后,攻击者仅示范开启的计算机程序,实际上还可以进行更多恶意指令。

JSPatch框架

说起漏洞,iTerm2 这个重大的安全漏洞由 MOSS 资助的安全审核团队发现,MOSS 于 2015 年成立,从那时起就开始为开源开发者提供资金支持、协助开源与自由软件的发展。同时还支持开源技术的安全审核,MOSS 的资金正是来自 Mozilla 基金会,以确保开源生态健康发展。

Mozilla则提到,这个漏洞需要与用户进行一定程度的互动,然后攻击者才能进行后续的攻击行动,但是由于使用普遍认为安全的指令就会受到攻击,因此被认为有高度的潜在安全影响。现在Mozilla、ROS与iTerm2开发者密切合作,推出了最新3.3.6版本,而3.3.5的安全修补程式也已经发布。Mozilla表示,虽然软件会主动提示更新,但是希望开发者能主动进行更新,减少可能被攻击机会。

韦德体育 ,开源工具JSPatch最初来自中国。自2015年发布后在中国市场备受青睐,许多受欢迎和备受瞩目的中文苹果应用程序都使用了这一技术,但FireEye发现,中国之外的开发商也都使用了这一技术框架。

ROS 发现 iTerm2 中的 tmux 整合功能有严重的漏洞,而且漏洞至少已经存在 7 年。简单来说,在大多数情况下,允许攻击者可对终端产生输出,也就是能在用户的电脑上执行命令。ROS 提供了攻击的 demo,而视频内容主要是进行表达概念性验证,因此当用户连接到恶意的 SSH 服务器后,攻击者仅示范开启的计算机程序,实际上还可以进行更多恶意指令。

目前iTerm2开发者现在已经发布最新的3.3.6版本,Mozilla也提醒使用者应该要尽快更新。

FireEye指出,JSPatch框架可以使攻击者有效规避苹果应用商店的审查程序,并使攻击者在受害设备上肆意强制执行程序,而任何反病毒工具都很难捕获该框架代码。

Mozilla 则提到,这个漏洞需要与用户进行一定程度的互动,然后攻击者才能进行后续的攻击行动,但是由于使用普遍认为安全的指令就会受到攻击,因此被认为有高度的潜在安全影响。现在 Mozilla、ROS 与 iTerm2 开发者密切合作,推出了最新 3.3.6 版本,而 3.3.5 的安全修补程式也已经发布。Mozilla 表示,虽然软件会主动提示更新,但是希望开发者能主动进  行更新,减少可能被攻击机会。

FireEye在一篇博客中称,“JSPatch对于iOS开发者来说是一个福音。正确使用它,可以迅速和有效地部署补丁和更新代码。但现实世界并非我们想象中的那样完美,我们必须假设这一技术被坏人利用、用于意想不到的用途。具体来说,如果攻击者能够篡改JavaScript文件内容,那么其就可以以成功地对苹果应用商店内的一个应用发动攻击。”

目前 iTerm2 开发者现在已经发布最新的 3.3.6 版本,Mozilla 也提醒使用者应该要尽快更新。

FireEye称,JSPatch是为数不多的几款面向iOS开发者提供低成本修复应用之一。其他类似的几款产品也存在类似潜在攻击威胁。

(文/开源中国)    

如何规避漏洞

FireEye新兴技术负责人乔什·戈德法布表示,“狡猾的攻击者可能会使用该技术框架,事先编写一款合法且没有恶意的应用,然后提交苹果应用商店审核。一旦通过审核,将正式进入苹果应用商店,它就能够给设备发送非法恶意指令。”

至于如何规避JSPatch漏洞风险,戈德法布表示:“我的建议十分标准:只下载你需要,而且你了解、你信任的应用。谨防那些向你征求访问权限的应用。记住,仅向那些你认为必须的应用提供访问权限。”

其实对于iOS用户而言,这并非首次遭遇大面积应用漏洞威胁。2015年10月,安全研究公司SourceDNA发现了数百款iOS在采集用户的隐私信息,同时违反了苹果的安全和隐私指南。而这仅距恶意代码XcodeGhost对苹果应用商店发动攻击一个月后。

在解释这一手机漏洞时,戈德法布称:“移动设备是攻击者比较青睐的攻击目标,因为相对于笔记本电脑和台式电脑而言,它们缺乏安全防护。未来我们将会看到,针对移动环境下的恶意攻击越来越多。攻击者会将注意力向金钱聚集的地方转移,因此,我们将会看到更多针对移动设备的攻击。”

上一篇:没有了 下一篇:没有了

更多阅读

中国之外的开发商也都使用了这一技术框

基础 2020-04-09
此漏洞会允许攻击者在用户电脑上远程执行命令,Mozilla提醒用户应该立即主动升级软件。 iT...
查看全文

新旧 Logo 对比如下(左边为旧版 Logo),

基础 2020-04-07
Notepad++ 的推特帐号发布了关于 Notepad++ 新Logo 的消息。与旧版Logo 相比,新 Logo 整体的变化不...
查看全文

这些用户目前似乎已经所剩无几,淘集集

基础 2020-04-05
10月12日,淘集集总部设置的临时签约室。图片来源:每经记者 王星平 摄 摘要10月15日凌晨3点...
查看全文

友情链接: 网站地图

Copyright © 2015-2019 http://www.koi-bumi.com. 韦德体育有限公司 版权所有