在 Windows、macOS 和 Linux 上广泛使用的终端模拟器和 SSH 客户端 Tabby(原 Terminus)中发现了一个高严重性漏洞 CVE-2024-55950 (CVSS 8.6)。Tabby 在 GitHub 上拥有近 61,000 个星级,下载次数超过 1,500 万次,其广泛的用户群因过度许可权限和不必要的访问权限而面临潜在风险。Tabby 的 macOS 应用程序被标记为包含过多权限,包括通过 Apple Events 访问摄像头、麦克风和个人文件夹。这些权限与危险的权限相结合,如:com.apple.security.cs.allow-dyld-environment-variablescom.apple.security.cs.disable-library-validation带来重大安全风险。根据该公告,“Tabby 的运行不需要这些权限,因为 Tabby 的插件系统是基于 NodeJS 的,不需要外部本地库”。类似的终端仿真器,如 iTerm2 和 Waveterm,在运行时也不需要这些权限,这进一步质疑了它们的必要性。过多的权限会导致多种攻击向量,包括:TCC 旁路攻击者可利用 DYLD_INSERT_LIBRARY 注入或 dylib 劫持来注入恶意代码。一旦注入,这些代码就会继承 Tabby 的大量权限,从而允许未经授权的访问:用于潜在监控的摄像头和麦克风下载和文档等个人目录未经用户同意的系统级访问隐私影响未经授权的监控和数据提取是主要风险,还有可能通过硬件访问进行无声监控。安全性破坏注入的恶意代码可能会绕过 macOS 安全控制,执行未经授权的操作,并泄露敏感的用户信息。该公告警告说:“考虑到 Tabby 的庞大用户群以及它所拥有的广泛 TCC 权限,后果尤其令人担忧。”CVE-2024-55950 漏洞会影响 Tabby 1.0.216 之前的版本,强烈建议用户立即更新到已打补丁的版本(1.0.216)。为降低风险,该公告建议:审查并删除至少一个不必要的权限,如 com.apple.security.cs.allow-dyld-environment-variables。确保配置符合完整功能所需的最低权限。安全研究员 Winslow 是发现该漏洞的功臣,他还发布了一个概念验证漏洞,展示了该漏洞在现实世界中的影响。Tabby 并不是第一个面临此类漏洞的高知名度应用程序。类似的 TCC 绕过漏洞已被记录在案,包括:CVE-2020-24259: 信号 TCC 绕过CVE-2023-26818: 电报 TCC 绕过该公告强调:“Tabby 的情况值得额外关注,因为终端模拟器通常需要提升权限,成功绕过 TCC 会带来更高的风险。”同时还提醒开发人员评估和限制不必要的权限,以尽量减少应用程序中的攻击面。对于依赖 Tabby 的 macOS 用户来说,升级到最新版本不仅是建议,而且是必要的。
