幽灵CVE:终端模拟器Ghostty中的安全漏洞
近期,一款名为Ghostty的新终端模拟器发布了1.0版本。安全研究员David Leadbeater发现,Ghostty存在一个与2003年发现的CVE类似的安全漏洞(CVE-2024-56803),攻击者可利用终端的标题查询功能执行任意代码。该漏洞利用了终端内带信号的特性,以及Zsh在vi模式下的行为。攻击者可以通过精心构造的转义序列,在用户不知情的情况下执行恶意命令,甚至通过SSH连接进行远程攻击。Ghostty已发布1.0.1版本修复此漏洞,并建议用户升级或使用提供的缓解措施。
阅读更多