Kritische Sicherheitslücke in macOS-Terminalemulator iTerm2

Bei einem von Mozilla finanzierten Audit wurde eine kritische Sicherheitslücke im Open-Source-Programm iTerm2 entdeckt, die hunderttausende Nutzer betrifft.

In Pocket speichern vorlesen Druckansicht 21 Kommentare lesen
Kritische Sicherheitslücke in macOS-Terminalemulator iTerm2

Demo-Angriff auf iTerm2

(Bild: Mozilla)

Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Der Entwickler des quelloffenen Terminal-Emulators iTerm2 für macOS hat ein Update seiner Software veröffentlicht, die Anwender umgehend installieren sollten. Version 3.3.6 der App behebt eine kritische Sicherheitslücke, über die Angreifer beliebige Befehle auf dem System ausführen könnten. Dazu muss ein Angreifer den Anwender dazu verleiten, eine bösartige Datei über iTerm2 aufzurufen oder ihm anderweitig Input unterschieben – was bei einem Terminal-Emulator, der von Nutzern oft zur Systemadministration oder zur Software-Entwicklung verwendet wird, nicht sehr weit hergeholt ist.

Entwickler George Nachman schätzt die Sicherheitslücke als "ernstzunehmend" ein. Im Gespräch mit der britischen Nachrichtenseite The Register sagte er, dass er momentan keine Details zu der Lücke veröffentlichen will. Man arbeite allerdings an einer ausführlichen Beschreibung, die im Laufe der nächsten Woche online gehen soll. Er schätzt, dass zwischen 100.000 und 200.000 Nutzer des beliebten Terminal-Emulators betroffen sind.

Die Sicherheitsfirma Radically Open Security hatte die Schwachstelle in der Open-Source-Software bei einem von Mozilla im Rahmen des Mozilla Open Source Support Program (MOSS) beauftragten Audit gefunden. Mit diesem Programm unterstützt und finanziert Mozilla Sicherheitsüberprüfungen von beliebten Open-Source-Programmen.

Einige Hinweise auf die Natur der Schwachstelle lassen sich aus dem Commit des Patches entnehmen, welcher die Lücke schließt. Es scheint, als klaffe sie in fast allen Versionen des Programms, die älter als die neueste Version 3.3.6 sind. Das Problem entstammt aus dem Zusammenspiel mit dem Unix-Programm tmux, über das sich in einem Terminal mehrere Sessions gleichzeitig betreiben lassen. Durch einen Implementationsfehler in iTerm2 könnte ein Angreifer eigene Befehle ausführen, wenn er es schafft, Input im Terminal anzeigen zu lassen. Das könnte zum Beispiel passieren, wenn ein Anwender eine SSH-Verbindung zu einer kompromittierten Gegenstelle aufbaut oder per curl eine Web-Ressource aufruft. Auch das Öffnen einer manipulierten Datei mit einem Text-Editor oder einem Unix-Tool wie cat oder tail könnte einem Angreifer Tor und Tür öffnen.

In einem Blog-Eintrag von Mozilla finden sich weitere Informationen zu der Sicherheitslücke; darunter ein Proof-of-Concept-Video eines Angriffs. Auch Mozilla empfiehlt iTerm2-Nutzern die Software so schnell wie möglich zu aktualisieren. Der Sicherheitslücke wurde die Identifizierungsnummer CVE-2019-9535 zugeteilt. (fab)