Plattform
macos
Komponente
iterm2
Behoben in
3.6.10
CVE-2026-41253 describes a code execution vulnerability in iTerm2, a popular macOS terminal emulator. An attacker can exploit this flaw by crafting a malicious .txt file that, when displayed in iTerm2, triggers unintended code execution. This vulnerability affects versions 0.0.0 through 3.6.9 and requires a specific setup involving a malicious file in the working directory. A patch is expected to resolve this issue.
CVE-2026-41253 in iTerm2 (versions bis einschließlich 3.6.9) ermöglicht die Ausführung von beliebigem Code, wenn eine .txt-Datei angezeigt wird, die DCS 2000p- und OSC 135-Daten enthält. Das Risiko steigt, wenn das Arbeitsverzeichnis eine bösartige Datei enthält, deren Name einem bestimmten Muster entspricht (z. B. ein Name, der mit 'ace/c+' beginnt), wodurch ein Angreifer die SSH-Conductor-Ausgabe manipulieren kann. Dies wird als In-Band-Signalisierungsmissbrauch angesehen, da iTerm2 Conductor-Protokollbefehle verarbeitet, ohne deren legitime Herkunft zu überprüfen. Die Codeausführung kann zu einer Kompromittierung des Systems oder zur Datenexfiltration führen, abhängig von den Berechtigungen des Benutzers, der iTerm2 ausführt.
Ein Angreifer kann diese Schwachstelle ausnutzen, indem er eine bösartige .txt-Datei über einen SSH-Server sendet oder eine vorhandene Datei im Arbeitsverzeichnis des Benutzers manipuliert. Die Datei würde Escape-Sequenzen enthalten, die iTerm2 dazu verleiten sollen, beliebigen Code auszuführen. Der Schlüssel zum Erfolg liegt in der Fähigkeit des Angreifers, den Dateinamen und Inhalt zu kontrollieren und sicherzustellen, dass er dem anfälligen Muster entspricht und den bösartigen Code enthält. Die 'In-Band'-Natur der Ausnutzung bedeutet, dass der Angreifer keinen direkten Zugriff auf das System benötigt, sondern die SSH-Serverausgabe manipulieren kann, um den iTerm2-Client zu kompromittieren.
Users of iTerm2 who frequently handle files from untrusted sources or operate in environments where malicious files could be introduced are at higher risk. Developers and system administrators using iTerm2 for sensitive tasks, such as SSH key management or code deployment, should prioritize patching.
• macos / terminal:
ps aux | grep iTerm2• macos / terminal: Monitor iTerm2's process list for unexpected child processes. • macos / file system: Check the working directory for suspicious .txt files with names containing 'ace/c+'. • macos / file system: Examine iTerm2's preferences for any unusual conductor protocol settings. • macos / system: Review system logs for any errors or warnings related to iTerm2 or the SSH conductor protocol.
disclosure
Exploit-Status
EPSS
0.01% (1% Perzentil)
CISA SSVC
CVSS-Vektor
Es gibt derzeit keine offizielle Behebung für diese Schwachstelle. Die primäre Abschwächung besteht darin, auf eine iTerm2-Version zu aktualisieren, die neuer als 3.6.9 ist, sobald dies verfügbar ist. Vermeiden Sie in der Zwischenzeit das Öffnen von .txt-Dateien aus nicht vertrauenswürdigen Quellen, insbesondere solchen, die möglicherweise manipuliert wurden. Es wird auch empfohlen, die Zugriffsberechtigungen für Arbeitsverzeichnisse, in denen .txt-Dateien verarbeitet werden, einzuschränken. Die Überwachung des Systems auf ungewöhnliche Aktivitäten kann dazu beitragen, eine potenzielle Ausnutzung zu erkennen. Das Fehlen einer sofortigen Lösung macht diese Schwachstelle für iTerm2-Benutzer kritisch.
Actualice a la última versión de iTerm2 (3.7 o posterior) para mitigar la vulnerabilidad. La actualización corrige la forma en que iTerm2 maneja los datos DCS 2000p y OSC 135, evitando la ejecución de código malicioso.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es ist ein Protokoll, das von iTerm2 verwendet wird, um Informationen aus SSH-Sitzungen anzuzeigen, wie z. B. den Befehlishistorie und die Programmausgabe.
Das bedeutet, dass der Angreifer die SSH-Serverausgabe manipulieren kann, um den iTerm2-Client zu kompromittieren, ohne einen separaten Kommunikationskanal zu benötigen.
Dies sind Escape-Sequenzen, die verwendet werden, um die Formatierung der Ausgabe in einem Terminal zu steuern. Ein Angreifer kann diese Sequenzen verwenden, um bösartige Befehle einzuschleusen.
Ändern Sie Ihre SSH-Passwörter, scannen Sie Ihr System auf Malware und ziehen Sie in Erwägung, iTerm2 neu zu installieren.
Es gibt derzeit kein geschätztes Veröffentlichungsdatum für eine Behebung. Bleiben Sie auf dem Laufenden über iTerm2-Updates.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.