Mac用多機能ターミナルアプリ「iTerm 2」の”DNS Look”機能により、パスワードを含む表示されたテキストがプレーンテキストのままDNSサーバーに送られてしまう問題が確認され、開発者のGeorge Nachmanさんが最新の「iTerm 2 v3.1.1」へアップグレードする様に求めています。詳細は以下から。





オランダPowerDNS.COM BVのエンジニアPeter van Dijkさんによると、Mac用の多機能ターミナルエミュレータアプリ「iTerm 2」に、ユーザーが入力したパスワードなどがプレーンテキストの状態で誤ってDNSサーバーへ送られてしまう不具合が含まれているとして、至急iTerm 2のオプションを無効にする様に求めています(確認されたのはiTerm 2 v3.0.15およびmacOS 10.12.6)。

Just filed https://t.co/yWPLj5SRvx. If you use iTerm2, read this NOW. — Peter van Dijk (@Habbie) 2017年9月19日

Detailed steps to reproduce the problem: Install iTerm

Hover on things that remotely resemble URLs and touch Cmd

Watch iTerm leak things in plain text over DNS What happened: iTerm sent various things (including passwords) in plain text to my ISP’s DNS server Please disable ‘Perform DNS lookups to check if URLs are valid?’ by default (#6050) · Issues · George Nachman / iterm2 · GitLab

問題となっているのはiTerm 2の“Perform DNS lookups to check if URLs are valid?”(DNS Lookupを利用して有効なURLをチェックする)機能で、iTerm 2のPreferencesから[Advanced] → [Semantic History]ヘ進み、問題のオプションを”NO”にする様にユーザーに求めており、セキュリティリスクやプライバシーの観点からもデフォルトで無効にすべきだとコメントしているので、iTerm 2ユーザーの方は確認してみて下さい。

Having this feature on by default is a terrible security and privacy risk. Please disable it by default. I personally never even noticed the blue vs. white on clickable links, which suggests (n=1) that usability will not be reduced that much by setting this feature disabled by default. Please disable ‘Perform DNS lookups to check if URLs are valid?’ by default (#6050) · Issues · George Nachman / iterm2 – GitLab

スポンサーリンク

追記

iTerm 2のどのバージョンでこの問題が発生しているかまでは追いきれていませんが、イギリスのセキュリティ研究者Adamさんによると報告されたバージョン「iTerm 2 v3.0.15」では再現できたそうです。

Urgh, good find! Recreated on 3.0.15 holding down CMD and mouse over. pic.twitter.com/8t0NB2gEfc — Adam (@_xpn_) 2017年9月19日

トリガーはiTerm 2にCMDキーを押しながらマウスオーバーすることで、ファイル名かURLかをチェックする”Perform DNS lookups…”機能がテキストをDNSサーバーへ送るそうです。

追記2

iTermの開発者George Nachmanさんによると、本日(現地時間2017年09月19日)リリースした「iTerm 2 v3.1.1」ではこのオプションがデフォルトで”NO”になったそうです。コメント欄でご指摘ありがとうございます。