網路程式爆嚴重漏洞,蘋果 iCloud 等恐淪攻擊目標

作者 | 發布日期 2021 年 12 月 11 日 16:49 | 分類 Apple , 網路 , 資訊安全 Telegram share ! follow us in feedly


眾多公司的安全團隊都在緊急修補一個先前未知、名為 Log4Shell 的漏洞,這可能讓駭客透過網路侵入數以百萬款程式,蘋果 iCloud、遊戲平台 Steam 等都可能淪為駭客攻擊目標。

這項漏洞如果被利用,能利用遠端執行程式碼攻擊脆弱的伺服器,進一步讓駭客植入足以完全危害設備的惡意軟體。

科技新聞網站 The Verge 報導,這次曝光的漏洞存在於 Java 日誌框架的 Log4j,被廣泛應用於各種應用程式和網路服務,是一種程式內的紀錄工具,保存執行活動的過程,方便在出現問題時進行檢查。幾乎每個網絡安全系統都會利用某種日誌框架進行紀錄,使得 Log4j 這類受歡迎的日誌框架影響廣泛。

著名資安研究員賀勤茲(Marcus Hutchins)在推特發文表示,有數以百萬款軟體都會受影響,「數以百萬款程式都使用 Log4j 記錄程式活動,駭客只需要讓應用程式接收一串特殊指令」。

這個漏洞首先在電玩遊戲 Minecraft 伺服器被發現,他們發現駭客可以通過發布聊天訊息來觸發漏洞。資安分析公司 GreyNoise 發布推文表示,公司已經檢測到許多伺服器正在網上搜索易受此漏洞攻擊的設備。

應用資安公司 LunaSec 發文稱,遊戲平台 Steam 和蘋果(Apple)的 iCloud 已經被發現存在漏洞。Valve 和蘋果都沒有立即回應置評請求。

資安公司 Cloudflare 技術長葛蘭姆-康明(John Graham-Cumming)告訴 The Verge,由於 Java 和日誌框架的 Log4j 廣受利用,這是非常嚴重的漏洞。因為有大量 Java 軟體連線到網路和後台系統。回顧過去 10 年,只有兩個漏洞的嚴重程度比得上這次。

目前 Log4j 已經釋出更新,開始修補漏洞,但直到所有漏洞更新之前,Log4Shell 依舊是一大威脅。

(譯者:戴雅真;首圖來源:蘋果)

關鍵字: , , , ,