Адам Кос Минулого тижня стало відомо, що діра в безпеці в інструменті log4j з відкритим кодом ставить під загрозу мільйони програм, якими користуються користувачі по всьому світу. Самі експерти з кібербезпеки описали це як найсерйознішу вразливість безпеки за останні 10 років. І це також стосувалося Apple, а саме її iCloud.
Log4j — це інструмент реєстрації з відкритим кодом, який широко використовується веб-сайтами та програмами. Таким чином, виявлену діру в безпеці можна використати буквально в мільйонах програм. Він дозволяє хакерам запускати зловмисний код на вразливих серверах і може також впливати на такі платформи, як iCloud або Steam. Це, до того ж, у дуже простій формі, тому він також отримав оцінку 10 із 10 щодо його критичності.
На додаток до небезпек, пов’язаних із широким використанням Log4j, зловмиснику надзвичайно легко скористатися експлойтом Log4Shell. Він просто повинен змусити програму зберігати спеціальний рядок символів у журналі. Оскільки програми регулярно реєструють різноманітні події, такі як повідомлення, надіслані та отримані користувачами, або деталі системних помилок, цю вразливість надзвичайно легко використати, і її можна активувати різними способами.
Це може бути зацікавити вас
Apple вже відповіла
За даними компанії Компанія Eclectic Light Apple вже виправила цю дірку в iCloud. На веб-сайті зазначено, що ця вразливість iCloud була під загрозою 10 грудня, а через день її вже не можна було використовувати. Схоже, що сам експлойт жодним чином не стосується macOS. Але не тільки Apple опинилася під загрозою. На вихідних, наприклад, Microsoft виправила свою діру в Minecraft.
Якщо ви розробники та програмісти, то можете зазирнути на сторінки журналу nakedsecurity, де ви знайдете досить вичерпну статтю, яка обговорює всю проблему.
