유령 CVE: 터미널 에뮬레이터 Ghostty의 보안 취약성
2025-01-01
새로운 터미널 에뮬레이터 Ghostty가 최근 1.0 버전을 출시했습니다. 보안 연구원 David Leadbeater는 2003년 CVE와 유사한 취약성(CVE-2024-56803)을 발견하여 공격자가 터미널의 제목 조회 기능을 이용하여 임의의 코드를 실행할 수 있도록 했습니다. 이 취약성은 터미널의 인밴드 신호 전달 방식과 vi 모드에서 Zsh의 동작을 악용합니다. 공격자는 교묘하게 제작된 이스케이프 시퀀스를 사용하여 사용자의 눈치채지 못하게 악성 코드를 실행하고, 심지어 SSH를 통해 원격 공격을 수행할 수도 있습니다. Ghostty 1.0.1은 이 문제를 수정했으며, 사용자는 업그레이드하거나 권고 사항에서 제공하는 완화 조치를 적용하는 것이 좋습니다.
(dgl.cx)
개발
터미널 보안