Adam Kos Minulý týždeň vyšlo najavo, že bezpečnostná diera v open-source nástroji log4j ohrozuje milióny aplikácií používajúcich používateľov po celom svete. Sami odborníci na kybernetickú bezpečnosť ju popísali ako najzávažnejšiu bezpečnostnú zraniteľnosť za posledných 10 rokov. A týkala sa aj Applu, konkrétne jeho iCloudu.
Log4j je open-source protokolovací nástroj široko používaný webmi aj aplikáciami. Odhalená bezpečnostná diera by mohla teda byť zneužitá doslova v miliónoch aplikácií. Umožňuje totiž hackerom spúšťať škodlivý kód na zraniteľných serveroch a údajne môže ovplyvniť aj platformy, akými sú iCloud alebo napríklad Steam. To navyše veľmi jednoduchou formou, a preto jej tiež bola udelená známka 10 z 10 s ohľadom na jej kritickosť.
Okrem nebezpečenstva, ktoré predstavuje rozšírené používanie Log4j, je pre útočníka extrémne ľahké využiť exploit Log4Shell. Stačí mu prinútiť aplikáciu, aby do protokolu uložila špeciálny reťazec znakov. Vzhľadom na to, že aplikácie rutinne zaznamenávajú širokú škálu udalostí, ako sú správy odoslané a prijaté používateľmi alebo podrobnosti o systémových chybách, možno túto chybu zabezpečenia neobvykle ľahko zneužiť, pričom ju možno spustiť mnohými rôznymi spôsobmi.
Mohlo by vás zaujímať
Apple už reagoval
Podľa spoločnosti Eklektická svetelná spoločnosť Apple túto dieru v iCloude už opravil. Web totiž uvádza, že táto zraniteľnosť iCloudu hrozila ešte 10. decembra, kým o deň neskôr ju už využiť nešlo. Ako sa zdá, samotné zneužitie sa nijako netýkalo systému macOS. Apple ale nebol jediným, kto bol vystavený riziku. Cez víkend Microsoft napr. opravil jeho dieru v Minecrafte.
Ak ste vývojári a programátori, môžete sa pozrieť na stránky magazínu nakedsecurity, Kde nájdete pomerne komplexný článok pojednávajúci o celom probléme.
