Adomas Kosas Praėjusią savaitę buvo atskleista, kad atvirojo kodo log4j įrankyje esanti saugumo spraga kelia pavojų milijonams vartotojų visame pasaulyje naudojamų programų. Patys kibernetinio saugumo ekspertai tai apibūdino kaip rimčiausią saugumo spragą per pastaruosius 10 metų. Tai taip pat buvo susijusi su „Apple“, ypač „iCloud“.
Log4j yra atvirojo kodo registravimo įrankis, plačiai naudojamas svetainėse ir programose. Todėl atskleista saugos skylė gali būti išnaudota tiesiogine prasme milijonuose programų. Tai leidžia įsilaužėliams paleisti kenkėjišką kodą pažeidžiamuose serveriuose ir tariamai taip pat gali paveikti tokias platformas kaip „iCloud“ ar „Steam“. Be to, tai labai paprasta forma, todėl ji taip pat buvo įvertinta 10 balų iš 10 dėl kritiškumo.
Be pavojų, kylančių dėl plačiai paplitusio Log4j naudojimo, užpuolikui labai lengva pasinaudoti Log4Shell išnaudojimu. Jis tiesiog turi priversti programą įrašyti specialią simbolių eilutę žurnale. Kadangi programos reguliariai registruoja įvairius įvykius, pvz., vartotojų siunčiamus ir gautus pranešimus arba išsamią informaciją apie sistemos klaidas, šį pažeidžiamumą neįprastai lengva išnaudoti ir jį galima suaktyvinti įvairiais būdais.
Tai gali būti jus domina
„Apple“ jau atsakė
Pasak bendrovės „Eclectic Light Company“. „Apple“ jau ištaisė šią „iCloud“ spragą. Svetainėje teigiama, kad šiam „iCloud“ pažeidžiamumui gruodžio 10 d. vis dar grėsė pavojus, o po dienos juo nebebuvo galima naudotis. Atrodo, kad pats išnaudojimas jokiu būdu nesusijęs su „MacOS“. Tačiau „Apple“ nebuvo vienintelė, kuriai iškilo pavojus. Pavyzdžiui, savaitgalį „Microsoft“ ištaisė „Minecraft“ spragą.
Jei esate kūrėjai ir programuotojai, galite peržiūrėti žurnalo puslapius nuogas saugumas, kuriame rasite gana išsamų straipsnį, kuriame aptariama visa problema.
