ゴーストCVE:ターミナルエミュレータGhosttyのセキュリティバグ
2025-01-01
新しいターミナルエミュレータGhosttyが最近バージョン1.0をリリースしました。セキュリティ研究者のDavid Leadbeaterは、2003年のCVEに似た脆弱性(CVE-2024-56803)を発見し、攻撃者がターミナルのタイトルクエリ機能を利用して任意のコードを実行することを可能にしています。この脆弱性は、ターミナルのインバンドシグナリングと、viモードでのZshの動作を利用しています。攻撃者は、巧妙に作成されたエスケープシーケンスを使用して、ユーザーの知らずに悪意のあるコマンドを実行し、SSH経由でリモート攻撃を行うことさえできます。Ghostty 1.0.1はこの問題を修正しており、ユーザーはアップグレードするか、アドバイザリで提供されている軽減策を適用することを推奨されています。
(dgl.cx)
開発
ターミナルセキュリティ