Mac用多機能ターミナルアプリ「iTerm 2」に入力されたパスワードやテキストをDNSサーバーに送ってしまう不具合が確認され、開発者らがオプションを無効にする様に求めています。詳細は以下から。
オランダPowerDNS.COM BVのエンジニアPeter van Dijkさんによると、Mac用の多機能ターミナルエミュレータアプリ「iTerm 2」に、ユーザーが入力したパスワードなどがプレーンテキストの状態で誤ってDNSサーバーへ送られてしまう不具合が含まれているとして、至急iTerm 2のオプションを無効にする様に求めています(確認されたのはiTerm 2 v3.0.15およびmacOS 10.12.6)。
Detailed steps to reproduce the problem:
- Install iTerm
- Hover on things that remotely resemble URLs and touch Cmd
- Watch iTerm leak things in plain text over DNS
What happened: iTerm sent various things (including passwords) in plain text to my ISP’s DNS server
Please disable ‘Perform DNS lookups to check if URLs are valid?’ by default (#6050) · Issues · George Nachman / iterm2 · GitLab
問題となっているのはiTerm 2の“Perform DNS lookups to check if URLs are valid?”(DNS Lookupを利用して有効なURLをチェックする)機能で、iTerm 2のPreferencesから[Advanced] → [Sematic History]ヘ進み、問題のオプションを”NO”にする様にユーザーに求めており、セキュリティリスクやプライバシーの観点からもデフォルトで無効にすべきだとコメントしているので、iTerm 2ユーザーの方は確認してみて下さい。
Having this feature on by default is a terrible security and privacy risk. Please disable it by default. I personally never even noticed the blue vs. white on clickable links, which suggests (n=1) that usability will not be reduced that much by setting this feature disabled by default.
Please disable ‘Perform DNS lookups to check if URLs are valid?’ by default (#6050) · Issues · George Nachman / iterm2 – GitLab
追記
iTerm 2のどのバージョンでこの問題が発生しているかまでは追いきれていませんが、イギリスのセキュリティ研究者Adamさんによると報告されたバージョン「iTerm 2 v3.0.15」では再現できたそうです。
追記2
iTermの開発者George Nachmanさんによると、本日(現地時間2017年09月19日)リリースした「iTerm 2 v3.1.1」ではこのオプションがデフォルトで”NO”になったそうです。コメント欄でご指摘ありがとうございます。
Version 3.1.1 is almost the same as 3.1.0, but includes a security patch to disable undesirable DNS requests that could leak user data. See the details here: https://gitlab.com/gnachman/iterm2/wikis/dnslookupissue