iTerm2中通过DNS请求可能会 泄漏用户隐私信息,您的系统终端是可靠的么？

Mac 上的开发者能够异常认识 iTerm2 这款终端利用程序，乃至已经用它代替了 Apple 民间终端利用的位置。但就在本日以前，iTerm2中还存在一个严重级其余网安成绩——这个成绩呈如今主动反省功效上的DNS哀求中，能够透露终端内部门内容。。相干的用户请务必实时进级至3.0.13及以上版本，并封闭某些设置。
这个功效能够或许查问鼠标悬停在 iTerm2 终端内的文本内容，在 iTerm 3.0.0 版中初次引入。也就是说，用户悬停在某个“词汇内容”上的的时刻，iTerm2 会主动查问拜访这个“内容”是否是一个有用的URL并主动增加高亮。为了防止经由过程利用不准确的字符串形式婚配算法创立死链接，该功利用了 DNS 哀求来肯定这个域名能否实在存在。

不测呈现：用户暗码和 API key 被发至 DNS 服务器上
如今的成绩在于——利用这个功效的时刻，假如用户将鼠标悬停在暗码，API密钥，用户名或其余敏感内容的时刻，这些内容也会不经意地经由过程DNS哀求透露。而咱们晓得，DNS哀求是明文通讯，意味着任何能够或许拦阻这些哀求的用户都能够拜访 iTerm终端中颠末鼠标悬停的敏感数据。
而假如检查这个版本的宣布信息，咱们看到 iTerm2 的 3.0.0 版本是在2016年7月4日宣布，这意味着在曩昔一年中，在不知情的情况下，也许许多用户都将敏感内容透露给了 DNS 服务器。
iTerm2 开发者道歉
iTerm2 这次信息透露变乱在10个月以前初次发明。iTerm2的开发者立刻在iTerm3.0.13版本中增加了一个选项，让用户能够封闭这个“DNS查问功效”。但新版本中仍旧默许将该功效关上。
 PowerDNS 的软件工程师 Peter van Dijk 指出除以前的成绩，iTerm2 中另有其余隐衷透露没有获得充足的看重。
iTerm2 以通俗文本的情势发送了许多信息（包含暗码）到我的ISP DNS服务器上。
本日他也宣布了相干的 漏洞破绽bug申报 来向人人论述这个成绩的严重性。
今朝开发者也认识到了这个成绩能够招致的效果，并立刻宣布了 iTerm3.1.1版本停止修复。他对付本身未经深图远虑、默许启用此功效，向开发者们表现歉意。
没有甚么托言，我没有充足看重网安成绩。我为我的差错报歉，而且往后必定加倍谨严。你们的隐衷网安会是我以后最优先斟酌的成绩。

今朝能够或许供给的倡议是：利用3.0.0和3.0.12之间 iTerm2 版本的用户请至多更新至3.0.13版，而后能够经由过程 “Preferences ⋙ Advanced ⋙ Semantic History”中将“Perform DNS lookups to check if URLs are valid?” 这个选项改成“NO”。