一 漏洞概述

iTerm2是世界上最受欢迎的终端之一，深受开发人员欢迎。安全研究人员在对iTerm2进行审查过程中发现了iTerm2的tmux集成功能存在严重的漏洞，当攻击者可以在用户的终端产生输出时（如ssh、curl等存在信息返回的情况下），攻击者可以在用户的计算机上执行命令。

二 漏洞危害

当攻击者可以在用户终端上生成输出（例如ssh，curl等）时，攻击者可以在用户计算机上执行命令。

三 影响版本

iTerm2 3.3.5之前的所有版本均受漏洞影响。

四 复现过程

无

五 影响范围

根据 ZoomEye 网络空间搜索引擎[1]对关键字 “iTerm2” 进行搜索，共得到 75 条 IP 历史记录，主要分布在中国、美国等国家。

六 修复建议

根据AOSP声明该漏洞已经通知各安卓合作伙伴，补丁已在Android Common Kernel上提供。预计各厂商将在未来几天内陆续发布更新修补漏洞。

七 相关链接

ZoomEye 网络空间搜索引擎：https://www.zoomeye.org/searchResult?q=iTerm2