ადამ კოს გასულ კვირას გაირკვა, რომ უსაფრთხოების ხვრელი ღია წყაროს log4j ხელსაწყოში საფრთხეს უქმნის მილიონობით აპლიკაციას, რომელსაც იყენებენ მომხმარებლები მთელს მსოფლიოში. თავად კიბერუსაფრთხოების ექსპერტებმა აღწერეს ის, როგორც უსაფრთხოების ყველაზე სერიოზული დაუცველობა ბოლო 10 წლის განმავლობაში. ეს ასევე ეხებოდა Apple-ს, კონკრეტულად მის iCloud-ს.
Log4j არის ღია წყაროს ჩაწერის ინსტრუმენტი, რომელიც ფართოდ გამოიყენება ვებსაიტებისა და აპლიკაციების მიერ. აქედან გამომდინარე, დაცული უსაფრთხოების ხვრელი შეიძლება გამოყენებულ იქნას ფაქტიურად მილიონობით აპლიკაციაში. ის ჰაკერებს საშუალებას აძლევს, გაუშვან მავნე კოდი დაუცველ სერვერებზე და შესაძლოა ასევე გავლენა მოახდინონ ისეთ პლატფორმებზე, როგორიცაა iCloud ან Steam. ეს, უფრო მეტიც, ძალიან მარტივი ფორმით, რის გამოც მას ასევე მიენიჭა 10-დან 10 შეფასება მისი კრიტიკულობის თვალსაზრისით.
გარდა Log4j-ის ფართო გამოყენებისგან გამოწვეული საფრთხისა, თავდამსხმელისთვის ძალიან მარტივია Log4Shell ექსპლოიტის გამოყენება. მან უბრალოდ უნდა გააკეთოს აპლიკაციამ შეინახოს სიმბოლოების სპეციალური სტრიქონი ჟურნალში. იმის გამო, რომ აპლიკაციები რეგულარულად აღრიცხავენ მრავალფეროვან მოვლენებს, როგორიცაა მომხმარებლების მიერ გაგზავნილი და მიღებული შეტყობინებები ან სისტემის შეცდომების დეტალები, ამ დაუცველობის ექსპლუატაცია უჩვეულოდ მარტივია და შეიძლება მოხდეს სხვადასხვა გზით.
Ეს შეიძლება იყოს დაგაინტერესოთ
Apple-მა უკვე უპასუხა
კომპანიის ცნობით Eclectic Light კომპანია Apple-მა უკვე გაასწორა ეს ხვრელი iCloud-ში. ვებსაიტზე ნათქვამია, რომ iCloud-ის ეს დაუცველობა კვლავ რისკის ქვეშ იყო 10 დეკემბერს, ხოლო ერთი დღის შემდეგ მისი გამოყენება ვეღარ მოხერხდა. როგორც ჩანს, ექსპლოიტი თავისთავად არ მოიცავს macOS-ს. მაგრამ Apple არ იყო ერთადერთი რისკის ქვეშ. მაგალითად, შაბათ-კვირას, Microsoft-მა გაასწორა თავისი ხვრელი Minecraft-ში.
თუ თქვენ ხართ დეველოპერები და პროგრამისტები, შეგიძლიათ გაეცნოთ ჟურნალის გვერდებს შიშველი უსაფრთხოება, სადაც ნახავთ საკმაოდ ყოვლისმომცველ სტატიას, რომელიც განიხილავს მთელ საკითხს.
