众多公司的安全团队都在紧急修补一个先前未知、名为 Log4Shell 的漏洞,这可能让骇客透过网络侵入数以百万款程式,苹果 iCloud、游戏平台 Steam 等都可能沦为骇客攻击目标。
这项漏洞如果被利用,能利用远端执行程式码攻击脆弱的服务器,进一步让骇客植入足以完全危害设备的恶意软件。
科技新闻网站 The Verge 报导,这次曝光的漏洞存在于 Java 日志框架的 Log4j,被广泛应用于各种应用程序和网络服务,是一种程式内的纪录工具,保存执行活动的过程,方便在出现问题时进行检查。几乎每个网络安全系统都会利用某种日志框架进行纪录,使得 Log4j 这类受欢迎的日志框架影响广泛。
著名资安研究员贺勤兹(Marcus Hutchins)在推特发文表示,有数以百万款软件都会受影响,“数以百万款程式都使用 Log4j 记录程式活动,骇客只需要让应用程序接收一串特殊指令”。
这个漏洞首先在电玩游戏 Minecraft 服务器被发现,他们发现骇客可以通过发布聊天讯息来触发漏洞。资安分析公司 GreyNoise 发布推文表示,公司已经检测到许多服务器正在网上搜索易受此漏洞攻击的设备。
应用资安公司 LunaSec 发文称,游戏平台 Steam 和苹果(Apple)的 iCloud 已经被发现存在漏洞。Valve 和苹果都没有立即回应置评请求。
资安公司 Cloudflare 技术长葛兰姆-康明(John Graham-Cumming)告诉 The Verge,由于 Java 和日志框架的 Log4j 广受利用,这是非常严重的漏洞。因为有大量 Java 软件连线到网络和后台系统。回顾过去 10 年,只有两个漏洞的严重程度比得上这次。
目前 Log4j 已经释出更新,开始修补漏洞,但直到所有漏洞更新之前,Log4Shell 依旧是一大威胁。
(译者:戴雅真;首图来源:苹果)
