| 14 декабря 2021 г. — 4:16 утра по тихоокеанскому времени
Apple устранила уязвимость Log4Shell в iCloud после того, как на прошлой неделе стало известно, что дыра в безопасности в инструменте с открытым исходным кодом Log4j поставила под угрозу миллионы приложений.
Эксперты по кибербезопасности назвали эту уязвимость «поджигающей интернет» и «самой критической уязвимостью за последнее десятилетие»…
Предыстория
Log4j — это инструмент ведения журналов с открытым исходным кодом, широко используемый как веб-сайтами, так и приложениями. Обнаруженная в нем дыра в безопасности может быть использована буквально в миллионах приложений.
Новый эксплойт под названием «Log4Shell» причинил головную боль командам безопасности крупных технологических компаний. При эксплуатации уязвимость позволяет хакерам запускать вредоносный код на уязвимых серверах, и, по сообщениям, она может затрагивать такие платформы, как iCloud и Steam.
Как подробно описала компания по безопасности LunaSec (через Verge), уязвимость была впервые обнаружена в Log4j, библиотеке с открытым исходным кодом, используемой многими приложениями и веб-сайтами для ведения журналов — то есть для записи выполненных действий с целью их последующего анализа для исправления ошибок.
По словам исследователя безопасности Маркуса Хатчинса, Log4Shell может затронуть миллионы приложений по всему миру, поскольку библиотека Log4j широко используется разработчиками.
В дополнение к опасности, связанной с широким использованием Log4j, злоумышленникам чрезвычайно легко использовать эксплойт Log4Shell.
Чтобы использовать уязвимость, злоумышленнику необходимо заставить приложение сохранить специальную строку символов в журнале. Поскольку приложения обычно регистрируют широкий спектр событий — таких как сообщения, отправляемые и получаемые пользователями, или сведения о системных ошибках — уязвимость необычайно легко использовать и может быть активирована различными способами.
Apple устраняет уязвимость Log4Shell в iCloud
iCloud был одним из сервисов, уязвимых к эксплойту, и, как отмечает Macworld, Apple, Microsoft и другие компании быстро устранили ее.
Согласно Eclectic Light Company, Apple устранила дыру в iCloud. Сайт сообщает, что исследователи смогли продемонстрировать уязвимость при подключении к iCloud через веб-интерфейс 9 и 10 декабря, а 11 декабря та же уязвимость уже не работала. Эксплойт, похоже, не затронул macOS.
Уязвимость была использована в Minecraft до того, как Microsoft устранила ее в выходные […]
Адам Майерс из Crowdstrike заявил, что уязвимость была «полностью вооружена», и для ее эксплуатации были доступны инструменты. «Интернет сейчас в огне», — добавил он вскоре после того, как эксплойт стал общедоступным.
Apache Software Foundation, которая управляет проектом, оценила ее в 10 баллов по шкале риска из-за легкости, с которой она может быть использована, и широкого распространения инструмента […] Генеральный директор фирмы по кибербезопасности Tenable Амит Йоран назвал ее «самой большой, самой критической уязвимостью за последнее десятилетие».