Адам Кос На мінулым тыдні стала вядома, што дзірка ў бяспецы ў інструменце log4j з адкрытым зыходным кодам ставіць пад пагрозу мільёны прыкладанняў, якімі карыстаюцца карыстальнікі па ўсім свеце. Самі эксперты па кібербяспецы назвалі гэта самай сур'ёзнай уразлівасцю бяспекі за апошнія 10 гадоў. І гэта датычылася і Apple, у прыватнасці яе iCloud.
Log4j - гэта інструмент вядзення журналаў з адкрытым зыходным кодам, які шырока выкарыстоўваецца вэб-сайтамі і праграмамі. Такім чынам, адкрытая дзірка ў бяспецы можа быць выкарыстана літаральна ў мільёнах прыкладанняў. Гэта дазваляе хакерам запускаць шкоднасны код на ўразлівых серверах і можа таксама паўплываць на такія платформы, як iCloud або Steam. Гэта, акрамя таго, у вельмі простай форме, таму ён таксама атрымаў адзнаку 10 з 10 у дачыненні да яго крытычнасці.
У дадатак да небяспекі, якую нясе шырокае выкарыстанне Log4j, зламысніку надзвычай лёгка выкарыстоўваць эксплойт Log4Shell. Ён проста павінен прымусіць прыкладанне захоўваць спецыяльны радок знакаў у журнале. Паколькі прыкладанні рэгулярна рэгіструюць самыя разнастайныя падзеі, такія як паведамленні, адпраўленыя і атрыманыя карыстальнікамі, або падрабязныя звесткі аб сістэмных памылках, гэтую ўразлівасць незвычайна лёгка выкарыстоўваць, і яна можа быць выклікана рознымі спосабамі.
Гэта можа быць зацікавіць вас
Apple ужо адказала
Па дадзеных кампаніі Кампанія Eclectic Light Apple ужо выправіла гэтую дзірку ў iCloud. На вэб-сайце сцвярджаецца, што гэтая ўразлівасць iCloud была пад пагрозай 10 снежня, а праз дзень яе ўжо нельга было выкарыстоўваць. Здаецца, што сам эксплойт ніякім чынам не закрануў macOS. Але не толькі Apple была ў небяспецы. Напрыклад, на выходных Microsoft выправіла сваю дзірку ў Minecraft.
Калі вы распрацоўшчыкі і праграмісты, можаце зазірнуць на старонкі часопіса голая бяспека, дзе вы знойдзеце даволі поўны артыкул, які абмяркоўвае ўсю праблему.
