Адам Кос Миналата седмица беше разкрито, че дупка в сигурността на инструмента log4j с отворен код излага на риск милиони приложения, използвани от потребители по целия свят. Самите експерти по киберсигурност го описват като най-сериозната уязвимост в сигурността през последните 10 години. И също така засягаше Apple, по-специално нейния iCloud.
Log4j е инструмент за регистриране с отворен код, широко използван от уебсайтове и приложения. Следователно откритата дупка в сигурността може да бъде експлоатирана буквално в милиони приложения. Той позволява на хакерите да изпълняват злонамерен код на уязвими сървъри и може също да засегне платформи като iCloud или Steam. Това, освен това, в много проста форма, поради което му беше присъдена и оценка 10 от 10 по отношение на неговата критичност.
В допълнение към опасностите, породени от широкото използване на Log4j, за атакуващия е изключително лесно да използва експлойта Log4Shell. Той просто трябва да накара приложението да запише специален низ от знаци в дневника. Тъй като приложенията рутинно регистрират голямо разнообразие от събития, като съобщения, изпратени и получени от потребители или подробности за системни грешки, тази уязвимост е необичайно лесна за използване и може да бъде задействана по много различни начини.
Може да бъде те интересуват
Apple вече отговори
Според компанията Компания Eclectic Light Apple вече поправи тази дупка в iCloud. Уебсайтът посочва, че тази уязвимост на iCloud все още е била изложена на риск на 10 декември, докато ден по-късно вече не може да се използва. Самият експлойт не изглежда да е включил macOS по никакъв начин. Но Apple не беше единствената изложена на риск. През уикенда, например, Microsoft поправи своята дупка в Minecraft.
Ако сте разработчици и програмисти, можете да разгледате страниците на списанието гола сигурност, където ще намерите доста изчерпателна статия, обсъждаща целия проблем.
