Ādams Koss Pagājušajā nedēļā tika atklāts, ka atvērtā pirmkoda log4j rīka drošības robs pakļauj riskam miljoniem lietojumprogrammu, ko izmanto lietotāji visā pasaulē. Paši kiberdrošības eksperti to raksturojuši kā nopietnāko drošības ievainojamību pēdējo 10 gadu laikā. Un tas attiecās arī uz Apple, jo īpaši uz tā iCloud.
Log4j ir atvērtā koda reģistrēšanas rīks, ko plaši izmanto vietnes un lietojumprogrammas. Tādējādi atklāto drošības caurumu var izmantot burtiski miljonos lietojumprogrammu. Tas ļauj hakeriem palaist ļaunprātīgu kodu ievainojamos serveros un, iespējams, var ietekmēt arī tādas platformas kā iCloud vai Steam. Tas turklāt ļoti vienkāršā formā, tāpēc par kritiskumu tai piešķirta arī atzīme 10 no 10.
Papildus briesmām, ko rada plašā Log4j izmantošana, uzbrucējam ir ārkārtīgi viegli izmantot Log4Shell izmantošanu. Viņam vienkārši jāliek lietojumprogrammai žurnālā saglabāt īpašu rakstzīmju virkni. Tā kā lietojumprogrammas regulāri reģistrē dažādus notikumus, piemēram, lietotāju nosūtītos un saņemtos ziņojumus vai informāciju par sistēmas kļūdām, šo ievainojamību ir neparasti viegli izmantot, un to var aktivizēt dažādos veidos.
Tas varētu būt jūs interesē
Apple jau ir atbildējusi
Saskaņā ar uzņēmuma teikto Uzņēmums Eclectic Light Apple jau ir novērsis šo caurumu iCloud. Vietnē norādīts, ka šī iCloud ievainojamība vēl bija apdraudēta 10. decembrī, savukārt dienu vēlāk to vairs nevarēja izmantot. Šķiet, ka pati izmantošana nekādā veidā nav saistīta ar MacOS. Taču Apple nebija vienīgais apdraudētais. Piemēram, nedēļas nogalē Microsoft salaboja savu caurumu Minecraft.
Ja esat izstrādātājs un programmētājs, varat apskatīt žurnāla lapas kaila drošība, kur atradīsit diezgan izsmeļošu rakstu, kurā apspriests viss jautājums.
