Ադամ Կոս Անցյալ շաբաթ բացահայտվեց, որ բաց կոդով log4j գործիքի անվտանգության անցքը վտանգի տակ է դնում աշխարհի օգտատերերի կողմից օգտագործվող միլիոնավոր հավելվածներ: Կիբերանվտանգության փորձագետներն իրենք դա որակել են որպես անվտանգության ամենալուրջ խոցելիությունը վերջին 10 տարվա ընթացքում։ Եվ դա վերաբերում էր նաև Apple-ին, մասնավորապես նրա iCloud-ին:
Log4j-ը բաց կոդով գրանցման գործիք է, որը լայնորեն օգտագործվում է կայքերի և հավելվածների կողմից: Հետևաբար, բացված անվտանգության անցքը կարող է օգտագործվել բառացիորեն միլիոնավոր ծրագրերում: Այն թույլ է տալիս հաքերներին գործարկել վնասակար կոդ խոցելի սերվերների վրա և, իբր, կարող է նաև ազդել այնպիսի հարթակների վրա, ինչպիսիք են iCloud-ը կամ Steam-ը: Սա, ընդ որում, շատ պարզ ձևով, դրա համար էլ 10-ից 10 գնահատականի է արժանացել իր քննադատականության առումով։
Ի լրումն Log4j-ի համատարած օգտագործման վտանգների, հարձակվողի համար չափազանց հեշտ է օգտագործել Log4Shell-ի շահագործումը: Նա պարզապես պետք է այնպես անի, որ հավելվածը պահպանի մատյանում նիշերի հատուկ տող: Քանի որ հավելվածները պարբերաբար գրանցում են իրադարձությունների լայն տեսականի, ինչպիսիք են օգտվողների կողմից ուղարկված և ստացված հաղորդագրությունները կամ համակարգի սխալների մանրամասները, այս խոցելիությունը անսովոր օգտագործման համար հեշտ է և կարող է գործարկվել տարբեր ձևերով:
Դա կարող է լինել ձեզ հետաքրքրում է
Apple-ն արդեն պատասխանել է
Ըստ ընկերության Eclectic Light ընկերություն Apple-ն արդեն շտկել է այս անցքը iCloud-ում: Կայքը նշում է, որ iCloud-ի այս խոցելիությունը դեռևս վտանգի տակ էր դեկտեմբերի 10-ին, մինչդեռ մեկ օր անց այն այլևս չէր կարող օգտագործվել։ Ըստ երևույթին, շահագործումն ինքնին որևէ կերպ չի ներառում macOS-ը: Սակայն Apple-ը միակը չէր, որ վտանգի տակ էր: Օրինակ, հանգստյան օրերին Microsoft-ը շտկեց իր անցքը Minecraft-ում:
Եթե դուք մշակողներ և ծրագրավորողներ եք, կարող եք ծանոթանալ ամսագրի էջերին մերկ անվտանգություն, որտեղ դուք կգտնեք բավականին ընդգրկուն հոդված, որտեղ քննարկվում է ամբողջ խնդիրը։
