▲蘋果修復日誌框架上的漏洞問題。(圖/取自9to5mac)
記者陳俐穎/綜合報導
Log4j 是一個日誌框架系統,被網站和應用程序廣泛使用,根據外媒9to5mac報導,此系統先前出現嚴重的安全漏洞,可能會在數百萬個應用程序中被利用,許多網路安全專家也認為,這是近10年來最大的漏洞。不過目前蘋果已經修正此漏洞。
報導指出,名為「Log4Shell」的新漏洞讓大型科技公司的安全團隊感到困擾,駭客利用漏洞,可以簡單的在受到攻擊的服務器上執行惡意代碼,並且可以影響 iCloud 和 Steam 等平台。
資安公司LunaSec 也說明,該漏洞首先在 log4j 中被發現,log4j 是一個開源庫,被多個應用程序和網站用於日誌記錄。根據安全研究員 Marcus Hutchins 的說法,Log4Shell 可能會影響全球數百萬個應用程序,因為開發人員廣泛使用 log4j 。
要利用這項漏洞,攻擊者必須使App在日誌中保存一個特殊的符號序列。由於App通常會記錄範圍廣泛的事件,例如用戶發送和接收的訊息,或系統錯誤的詳細訊息,因此該漏洞異常容易被利用,並且可以通過多種方式觸發。
而蘋果iCloud服務是易受攻擊的項目之一,Macworld指出,蘋果、微軟和其他公司已經迅速修補此漏洞,研究人員在 12 月 9 日和 12 月 10 日通過網絡連接到 iCloud 時,驗證存在這個資安風險, 12 月 11 日之後此漏洞已經完全被修復,目前接收到的訊息難來,此問題並未影響 macOS。
讀者迴響