iTerm2 เป็นโปรแกรมที่ได้รับความนิยมมากใน macOS เพราะมีความสามารถหลากหลายกว่า Terminal ที่มากับ OS
ภาพหน้าจอของโปรแกรม iTerm2 (ไม่เกี่ยวกับปัญหาในข่าวนี้)
ซึ่งในเวอร์ชัน 3.0.0 ที่ออกมาตั้งแต่วันที่ 4 กรกฎาคม 2559 มีฟีเจอร์หนึ่งที่ถูกเพิ่มเข้ามาคือการตรวจสอบว่าลิงก์ที่พิมพ์ใส่เข้ามาในโปรแกรมนั้นสามารถเข้าถึงได้หรือไม่โดยใช้วิธี DNS lookup ซึ่งฟีเจอร์นี้ถูกเปิดมาเป็นค่าเริ่มต้น และพบว่าความลับอาจหลุดรั่วจากการใช้ฟีเจอร์นี้ได้
ฟีเจอร์ตรวจสอบลิงก์ของ iTerm2 จะทำงานเมื่อมีการนำเมาส์ไปชี้ที่ตัวข้อความที่มีรูปแบบลักษณะคล้ายลิงก์ ส่งผลให้เมื่อนำเมาส์ไปชี้ที่ username, password, API key หรือข้อมูลสำคัญที่เป็นความลับ ก็มีโอกาสที่ข้อมูลเหล่านั้นจะหลุดรั่วออกไปได้ผ่าน DNS request
ทางผู้พัฒนาโปรแกรม iTerm2 แนะนำให้อัพเดตเป็นเวอร์ชัน 3.1.1 เพื่อแก้ไขปัญหานี้ (ได้ในระดับนึง) โดยสามารถอัพเดตได้จาก Preferences > Advanced > Semantic History หรือดาวน์โหลดเวอร์ชั่นล่าสุดได้ที่ www.iterm2.com แต่ยังควรปิดฟีเจอร์นี้โดยตั้งค่าให้ตัวเลือก “Perform DNS lookups to check if URLs are valid?” เป็น No และเปิดใช้เมื่อจำเป็นเท่านั้น (ไม่ควรเปิดฟีเจอร์นี้ทิ้งไว้)
ที่มา: ThaiCERT
ภาพหน้าปก: Pixabay by geralt