Adam Kos Eelmisel nädalal selgus, et avatud lähtekoodiga log4j tööriista turvaauk seab ohtu miljonid rakendused, mida kasutajad üle maailma kasutavad. Küberturvalisuse eksperdid ise on seda kirjeldanud kui viimase 10 aasta kõige tõsisemat turvanõrkust. Ja see puudutas ka Apple'i, täpsemalt selle iCloudi.
Log4j on avatud lähtekoodiga logitööriist, mida laialdaselt kasutavad veebisaidid ja rakendused. Paljastatud turvaauku saab seetõttu kasutada sõna otseses mõttes miljonites rakendustes. See võimaldab häkkeritel käivitada haavatavates serverites pahatahtlikku koodi ja võib väidetavalt mõjutada ka selliseid platvorme nagu iCloud või Steam. Seda pealegi väga lihtsal kujul, mistõttu sai kriitilisuse eest ka hinde 10 10-st.
Lisaks Log4j laialdasest kasutamisest tulenevatele ohtudele on ründajal äärmiselt lihtne kasutada Log4Shelli ärakasutamist. Ta peab lihtsalt panema rakenduse salvestama logisse spetsiaalse tähemärgijada. Kuna rakendused logivad rutiinselt mitmesuguseid sündmusi, nagu kasutajate saadetud ja vastuvõetud sõnumid või süsteemivigade üksikasjad, on seda haavatavust ebatavaliselt lihtne ära kasutada ja seda saab käivitada mitmel erineval viisil.
See võib olla sind huvitab
Apple on juba vastanud
Ettevõtte sõnul Eclectic Light Company Apple on selle augu iCloudis juba parandanud. Veebisaidil on kirjas, et see iCloudi haavatavus oli veel 10. detsembril ohus, samas kui päev hiljem ei saanud seda enam kasutada. Paistab, et ärakasutamine pole MacOS-i mingil moel seotud. Kuid Apple polnud ainus, kes ohus oli. Näiteks Microsoft parandas nädalavahetusel oma augu Minecraftis.
Kui olete arendaja ja programmeerija, võite vaadata ajakirja lehti alasti turvalisus, kust leiate üsna põhjaliku artikli, mis käsitleb kogu probleemi.
