研究人员在iTerm2的SSH集成功能中发现严重漏洞,即使执行'cat readme.txt'等基本命令也可能导致任意代码执行。该漏洞利用终端转义序列在conductor协议中的处理缺陷,将正常终端输出转变为恶意命令。这是与OpenAI合作的AI辅助安全研究项目的一部分。
背景
iTerm2是macOS上流行的终端模拟器,其SSH集成功能通过名为'conductor'的辅助脚本使用终端转义序列实现更丰富的远程会话管理功能。
- 来源
- Lobsters
- 发布时间
- 2026年4月18日 22:58
- 评分
- 7.0 / 10