Adam Kos Prejšnji teden je bilo razkrito, da varnostna luknja v odprtokodnem orodju log4j ogroža milijone aplikacij, ki jih uporabljajo uporabniki po vsem svetu. Sami strokovnjaki za kibernetsko varnost so jo opisali kot najresnejšo varnostno ranljivost v zadnjih 10 letih. In zadevalo je tudi Apple, natančneje njegov iCloud.
Log4j je odprtokodno orodje za beleženje, ki ga pogosto uporabljajo spletna mesta in aplikacije. Razkrito varnostno luknjo bi torej lahko izkoristili v dobesedno milijonih aplikacij. Hekerjem omogoča izvajanje zlonamerne kode na ranljivih strežnikih in lahko domnevno vpliva tudi na platforme, kot sta iCloud ali Steam. In to v zelo preprosti obliki, zato je tudi glede kritičnosti prejela oceno 10 od 10.
Poleg nevarnosti, ki jih prinaša široka uporaba Log4j, je za napadalca zelo enostavno uporabiti izkoriščanje Log4Shell. Samo narediti mora, da aplikacija shrani poseben niz znakov v dnevnik. Ker aplikacije redno beležijo najrazličnejše dogodke, kot so sporočila, ki jih pošljejo in prejmejo uporabniki, ali podrobnosti sistemskih napak, je to ranljivost neobičajno enostavno izkoristiti in jo je mogoče sprožiti na veliko različnih načinov.
Lahko bi bilo te zanima
Apple se je že odzval
Po navedbah družbe Podjetje Eclectic Light Apple je to luknjo v iCloudu že popravil. Spletna stran navaja, da je bila ta ranljivost iCloud še vedno ogrožena 10. decembra, medtem ko je dan kasneje ni bilo več mogoče uporabiti. Zdi se, da samo izkoriščanje na noben način ni vključevalo macOS. Toda Apple ni bil edini v nevarnosti. Čez vikend je na primer Microsoft popravil svojo luknjo v Minecraftu.
Če ste razvijalci in programerji, si lahko ogledate strani revije nakedsecurity, kjer boste našli dokaj obsežen članek, ki obravnava celotno problematiko.
