苹果修复了导致互联网“着火”的 Log4Shell iCloud 漏洞
上周晚些时候,网络安全公司 LunaSec 在 开源 Log4j 库可能使黑客能够在远程服务器上运行恶意代码。据称,无数应用程序和服务都容易受到名为 Log4Shell 的漏洞的攻击,包括 iCloud、Minecraft 和无数其他应用程序和服务。
根据Eclectic Light Company,苹果已修补 iCloud洞。该网站报告称,研究人员在 12 月 9 日和 12 月 10 日通过网络连接 iCloud 时演示了该漏洞,该漏洞在 12 月 11 日不再起作用。该漏洞似乎并未影响 macOS。
该漏洞为在 Minecraft 中被利用,然后微软在周末修补了它。据安全研究人员称,黑客只需将一条看似无害的消息粘贴到聊天框中即可危及 Minecraft 的服务器。类似的利用方法可用于侵入任何运行免费软件的应用程序。 Check Point 估计,在最初爆发后的短短 72 小时内,就有约 850,000 次攻击被尝试。目前尚不清楚苹果的 iCloud 是否在目标系统之列。
目前尚不清楚有多少应用程序受到该错误的影响,但 log4j 的使用极其广泛。 Crowdstrike 的 Adam Meyers 表示,该漏洞已”完全武器化”,并且可以随时使用工具来利用它。 “互联网现在很火,”该漏洞被公开后不久他补充道。
由于该项目易于利用且该工具的广泛性,运行该项目的 Apache 软件基金会将其风险等级评为 10 级。 Log4j 库在 Web 中用于日志记录,这是 Web 开发人员的普遍做法。 Apache 有 推出了更新,但 Java 工具的普遍存在意味着许多应用程序仍然容易受到攻击。网络安全公司 Tenable Amit Yoran 的首席执行官称其为”过去十年来最大、最关键的漏洞”。
但是,即使您使用受影响的应用程序之一,您的 Mac 也不会面临风险。当被利用时,该错误会影响运行 Log4j 的服务器,而不是客户端计算机,尽管理论上它可用于植入恶意应用程序,然后影响连接的计算机。但是,如果您托管自己的服务器并在 Mac 上运行任何类型的日志记录方法,则应该运行修复程序,因为您可能处于危险之中而不自知。
12/14 更新:Check Point 报告称,自 Log4Shell 漏洞被公开以来,已发起约 850,000 次攻击。