Apple исправила уязвимость Log4Shell iCloud после того, как на прошлой неделе было обнаружено, что дыра в безопасности в инструменте с открытым исходным кодом log4j подвергает риску миллионы приложений.
Эксперты по кибербезопасности описали эту уязвимость как «поджигающую Интернет» и «самую критическую уязвимость системы безопасности за десятилетие» …
Задний план
Log4j — это инструмент для ведения журнала с открытым исходным кодом, который очень широко используется как веб-сайтами, так и приложениями. Обнаруженная здесь дыра в безопасности может быть использована буквально в миллионах приложений.
Новый эксплойт под названием «Log4Shell» создает головную боль командам безопасности в крупных технологических компаниях. При эксплуатации уязвимость позволяет хакерам запускать вредоносный код на уязвимых серверах и, как сообщается, может повлиять на такие платформы, как iCloud и Steam.
s подробно описано компанией безопасности LunaSec (через Verge), уязвимость была впервые обнаружена в log4j, библиотеке с открытым исходным кодом, используемой несколькими приложениями и веб-сайтами для ведения журнала — процесса ведения списка выполненных действий для их просмотра. позже для исправления ошибок или других ошибок.
По словам исследователя безопасности Маркуса Хатчинса, Log4Shell может повлиять на миллионы приложений по всему миру, поскольку библиотека log4j широко используется разработчиками.
Вдобавок к опасности, исходящей от широкого использования Log4j, злоумышленнику очень легко использовать эксплойт Log4Shell.
Чтобы воспользоваться уязвимостью, злоумышленник должен заставить приложение сохранить в журнале специальную строку символов. Поскольку приложения регулярно регистрируют широкий спектр событий, таких как сообщения, отправленные и полученные пользователями, или подробные сведения о системных ошибках, уязвимость необычайно проста в использовании и может быть вызвана различными способами.
Apple исправляет уязвимость Log4Shell в iCloud
iCloud был одной из служб, уязвимых для эксплойта, и Macworld отмечает, что Apple, Microsoft и другие быстро исправили ее.
По данным Eclectic Light Company, Apple залатала дыру в iCloud. Сайт сообщает, что исследователи смогли продемонстрировать уязвимость при подключении к iCloud через Интернет 9 и 10 декабря, эта же уязвимость больше не работала 11 декабря. Эксплойт, похоже, не затронул macOS.
Уязвимость использовалась в Minecraft до того, как Microsoft исправила ее на выходных. […]
Адам Мейерс из Crowdstrike сказал, что уязвимость «полностью превращена в оружие», и для ее использования доступны инструменты. «Интернет сейчас в огне», — добавил он вскоре после того, как эксплойт был обнародован.
Фонд Apache Software Foundation, который руководит проектом, оценил его на 10 баллов по шкале риска из-за простоты использования и широкого распространения инструмента. […] Генеральный директор фирмы Tenable, занимающейся кибербезопасностью, Амит Йоран назвал это «самой большой и самой критической уязвимостью за последнее десятилетие».
