Mac 上的开发者可能非常熟悉 iTerm2 这款终端应用程序，甚至已经用它取代了 Apple 官方终端应用的地位。但就在今天之前，iTerm2中还存在一个严重级别的安全问题——这个问题出现在自动检查功能上的DNS请求中，可能泄露终端内部分内容。相关的用户请务必及时升级版本至最新的 3.0.13 版本，并关闭某些设置。

       这个功能能够查询鼠标悬停在 iTerm2 终端内的文本内容，在 iTerm 3.0.0 版中首次引入。也就是说，用户悬停在某个“词汇内容”上的的时候，iTerm2 会自动调查这个“内容”是不是一个有效的URL并自动添加高亮。为了避免通过使用不准确的字符串模式匹配算法创建死链接，该功使用了 DNS 请求来确定这个域名是否真实存在。

       意外出现：用户密码以及 API key 被发至 DNS 服务器上

       现在的问题在于——应用这个功能的时候，如果用户将鼠标悬停在密码，API密钥，用户名或其他敏感内容的时候，这些内容也会不经意地通过DNS请求泄漏。而我们知道，DNS请求是明文通信，意味着任何能够拦截这些请求的用户都可以访问 iTerm终端中经过鼠标悬停的敏感数据。

       而如果查看这个版本的发布信息，我们看到 iTerm2 的 3.0.0 版本是在2016年7月4日发布，这意味着在过去一年中，在不知情的情况下，也许许多用户都将敏感内容泄露给了 DNS 服务器。

       iTerm2 开发者致歉

       iTerm2 此次信息泄漏事件在10个月之前首次发现。iTerm2的开发者立即在iTerm3.0.13版本中增加了一个选项，让用户可以关闭这个“DNS查询功能”。但新版本中仍然默认将该功能打开。

PowerDNS 的软件工程师 Peter van Dijk 指出除了之前的问题，iTerm2 中还有其他隐私泄露没有得到足够的重视。

    iTerm2 以普通文本的形式发送了很多信息（包括密码）到我的ISP DNS服务器上。

       今天他也发布了相关的 漏洞报告 来向大家阐述这个问题的严重性。

       目前开发者也意识到了这个问题可能导致的后果，并立即发布了 iTerm3.1.1版本进行修复。他对于自己未经深思熟虑、默认启用此功能，向开发者们表示歉意。

    没有什么借口，我没有足够重视安全问题。我为我的过失道歉，并且今后一定更加谨慎。你们的隐私安全会是我之后最优先考虑的问题。

     目前能够提供的建议是：使用3.0.0和3.0.12之间 iTerm2 版本的用户请至少更新至3.0.13版，然后可以通过

  “Preferences ⋙ Advanced ⋙ Semantic History”中将“Perform DNS lookups to check if URLs are valid?” 这个选项改为“NO”。

     本文作者Elaine，转载请注明来自FreeBuf.COM