CVE Fantasma: Una vulnerabilidad de seguridad en el emulador de terminal Ghostty
2025-01-01
Un nuevo emulador de terminal, Ghostty, lanzó recientemente la versión 1.0. El investigador de seguridad David Leadbeater descubrió una vulnerabilidad (CVE-2024-56803) similar a una CVE de 2003, permitiendo a los atacantes ejecutar código arbitrario explotando la funcionalidad de consulta de título del terminal. La vulnerabilidad aprovecha la naturaleza de señalización en banda de los terminales y el comportamiento de Zsh en modo vi. Los atacantes pueden usar secuencias de escape elaboradas para ejecutar comandos maliciosos sin el conocimiento del usuario, incluso a través de SSH. Ghostty 1.0.1 corrige esto; se recomienda a los usuarios que actualicen o apliquen las mitigaciones proporcionadas en el aviso.
(dgl.cx)
Desarrollo
seguridad de terminal