Java出現名為Log4Shell的漏洞,蘋果iCloud、遊戲平台Steam等都可能淪為駭客攻擊目標,許多公司緊急修補中。(示意圖/圖取自Unsplash圖庫)
眾多公司的安全團隊都在緊急修補一個先前未知、名為Log4Shell的漏洞,這可能讓駭客透過網路侵入數以百萬款程式,蘋果 iCloud、遊戲平台Steam等都可能淪為駭客攻擊目標。
這項漏洞如果被利用,能利用遠端執行程式碼攻擊脆弱的伺服器,進一步讓駭客植入足以完全危害設備的惡意軟體。
科技新聞網站The Verge報導,這次曝光的漏洞存在於Java日誌框架的Log4j,被廣泛應用於各種應用程式和網路服務,是一種程式內的紀錄工具,保存執行活動的過程,方便在出現問題時進行檢查。幾乎每個網絡安全系統都會利用某種日誌框架進行紀錄,使得Log4j這類受歡迎的日誌框架影響廣泛。
著名資安研究員賀勤茲(Marcus Hutchins)在推特發文表示,有數以百萬款軟體都會受影響,「數以百萬款程式都使用Log4j記錄程式活動,駭客只需要讓應用程式接收一串特殊指令」。
這個漏洞首先在電玩遊戲Minecraft伺服器被發現,他們發現駭客可以通過發佈聊天訊息來觸發漏洞。資安分析公司GreyNoise發佈推文表示,公司已經檢測到許多伺服器正在網上搜索易受此漏洞攻擊的設備。
應用資安公司LunaSec發文稱,遊戲平台Steam和蘋果(Apple)的iCloud已經被發現存在漏洞。Valve和蘋果都沒有立即回應置評請求。
資安公司Cloudflare技術長葛蘭姆-康明(John Graham-Cumming)告訴The Verge,由於Java和日誌框架的Log4j廣受利用,這是非常嚴重的漏洞。因為有大量Java軟體連線到網路和後台系統。回顧過去10年,只有兩個漏洞的嚴重程度比得上這次。
目前Log4j已經釋出更新,開始修補漏洞,但直到所有漏洞更新之前,Log4Shell依舊是一大威脅。
