Adam Kosi W zeszłym tygodniu ujawniono, że luka w zabezpieczeniach narzędzia log4j o otwartym kodzie źródłowym naraża na ryzyko miliony aplikacji używanych przez użytkowników na całym świecie. Sami eksperci ds. cyberbezpieczeństwa określili ją jako najpoważniejszą lukę w zabezpieczeniach ostatnich 10 lat. Dotyczyło to także Apple, a konkretnie jego iCloud.
Log4j to narzędzie do rejestrowania typu open source, szeroko stosowane w witrynach internetowych i aplikacjach. Odsłoniętą lukę w zabezpieczeniach można zatem wykorzystać w dosłownie milionach zastosowań. Umożliwia hakerom uruchamianie złośliwego kodu na podatnych na ataki serwerach i rzekomo może również wpływać na platformy takie jak iCloud czy Steam. I to w dodatku w bardzo prostej formie, dlatego też otrzymał ocenę 10 na 10 pod względem krytyczności.
Oprócz niebezpieczeństw związanych z powszechnym stosowaniem Log4j, atakujący może niezwykle łatwo wykorzystać exploit Log4Shell. Musi tylko sprawić, aby aplikacja zapisała w dzienniku specjalny ciąg znaków. Ponieważ aplikacje rutynowo rejestrują różnorodne zdarzenia, takie jak wiadomości wysłane i odebrane przez użytkowników lub szczegóły błędów systemowych, lukę tę niezwykle łatwo jest wykorzystać i można ją wywołać na wiele różnych sposobów.
Mogłoby być interesują Cię
Apple już odpowiedziało
Według firmy Firma Eklektyczna Lekka Apple naprawiło już tę dziurę w iCloud. Strona podaje, że 10 grudnia ta luka w zabezpieczeniach iCloud była nadal zagrożona, natomiast dzień później nie można było już z niej korzystać. Wygląda na to, że sam exploit nie dotyczył w żaden sposób systemu macOS. Ale nie tylko Apple było zagrożone. W weekend na przykład Microsoft załatał swoją dziurę w Minecrafcie.
Jeśli jesteś programistą i programistą, możesz zajrzeć na strony magazynu nagie bezpieczeństwo, gdzie znajdziecie dość obszerny artykuł omawiający całość zagadnienia.
