Адам Кос Прошле недеље је откривено да безбедносна рупа у алату лог4ј отвореног кода доводи у опасност милионе апликација које користе корисници широм света. И сами стручњаци за сајбер безбедност су то описали као најозбиљнију безбедносну рањивост у последњих 10 година. Такође се тицало Аппле-а, посебно његовог иЦлоуд-а.
Лог4ј је алатка за евидентирање отвореног кода коју широко користе веб странице и апликације. Изложена безбедносна рупа би се стога могла искористити у буквално милионима апликација. Омогућава хакерима да покрећу злонамерни код на рањивим серверима и наводно такође може да утиче на платформе као што су иЦлоуд или Стеам. Ово, осим тога, у врло једноставној форми, због чега је и оцењено оценом 10 од 10 у погледу критичности.
Поред опасности коју представља распрострањена употреба Лог4ј-а, нападачу је изузетно лако да користи експлоатацију Лог4Схелл. Он само треба да учини да апликација сачува посебан низ знакова у дневнику. Пошто апликације рутински евидентирају широк спектар догађаја, као што су поруке које корисници шаљу и примају или детаљи системских грешака, ову рањивост је необично лако искористити и може се покренути на много различитих начина.
То може бити вас занима
Аппле је већ одговорио
Према наводима компаније Компанија Ецлецтиц Лигхт Аппле је већ поправио ову рупу у иЦлоуд-у. На сајту се наводи да је ова рањивост иЦлоуд и даље била у опасности 10. децембра, док дан касније више није могла да се користи. Чини се да сама експлоатација ни на који начин није укључивала мацОС. Али Аппле није био једини у опасности. Током викенда, на пример, Мицрософт је поправио своју рупу у Минецрафт-у.
Ако сте програмери и програмери, можете погледати странице часописа накедсецурити, где ћете наћи прилично опсежан чланак који говори о целом питању.
