Kos Ádám A múlt héten kiderült, hogy a nyílt forráskódú log4j eszközben lévő biztonsági rés a felhasználók által világszerte használt alkalmazások millióit veszélyezteti. Maguk a kiberbiztonsági szakértők az elmúlt 10 év legsúlyosabb biztonsági résének minősítették. És ez az Apple-re is vonatkozott, különösen az iCloudjára.
A Log4j egy nyílt forráskódú naplózó eszköz, amelyet széles körben használnak a webhelyek és alkalmazások. A feltárt biztonsági rést ezért szó szerint több millió alkalmazásban lehetne kihasználni. Lehetővé teszi a hackerek számára, hogy rosszindulatú kódokat futtatjanak a sebezhető szervereken, és állítólag olyan platformokra is hatással lehet, mint az iCloud vagy a Steam. Ez ráadásul nagyon egyszerű formában, ezért is kapott kritikussága tekintetében 10-es osztályzatot a 10-ből.
A Log4j széles körben elterjedt használatából adódó veszélyek mellett a támadó rendkívül könnyen használhatja a Log4Shell exploitot. Csak el kell mentenie az alkalmazást a naplóba egy speciális karakterláncot. Mivel az alkalmazások rutinszerűen sokféle eseményt naplóznak, például a felhasználók által küldött és fogadott üzeneteket vagy a rendszerhibák részleteit, ez a sérülékenység szokatlanul könnyen kihasználható, és többféleképpen is kiváltható.
Lehet, hogy érdekel téged
Az Apple már válaszolt
A cég szerint Eclectic Light Company Az Apple már kijavította ezt a lyukat az iCloudban. A weboldal azt állítja, hogy ez az iCloud biztonsági rése december 10-én még veszélyben volt, egy nappal később viszont már nem lehetett használni. Úgy tűnik, maga a kihasználás semmilyen módon nem érintette a macOS-t. De nem az Apple volt az egyetlen veszélyben. A hétvégén például a Microsoft kijavította a lyukat a Minecraftban.
Ha Ön fejlesztő és programozó, megtekintheti a magazin oldalait meztelen biztonság, ahol egy meglehetősen átfogó, az egész kérdést tárgyaló cikket talál.
