Adam Kos O'tgan hafta ochiq manba log4j vositasidagi xavfsizlik teshigi butun dunyo bo'ylab foydalanuvchilar tomonidan foydalaniladigan millionlab ilovalarni xavf ostiga qo'ygani ma'lum bo'ldi. Kiberxavfsizlik bo'yicha mutaxassislarning o'zlari buni so'nggi 10 yildagi eng jiddiy xavfsizlik zaifligi deb ta'riflashdi. Va bu Apple-ga, xususan uning iCloud-ga ham tegishli.
Log4j - bu veb-saytlar va ilovalar tomonidan keng qo'llaniladigan ochiq manbali jurnalni yozish vositasi. Shunday qilib, ochiq xavfsizlik teshigi millionlab ilovalarda ishlatilishi mumkin. Bu xakerlarga zaif serverlarda zararli kodni ishga tushirishga imkon beradi va go'yo iCloud yoki Steam kabi platformalarga ham ta'sir qilishi mumkin. Bundan tashqari, bu juda oddiy shaklda, shuning uchun ham tanqidiyligi bo'yicha 10 balldan 10 ball oldi.
Log4j-ning keng qo'llanilishi bilan bog'liq xavflardan tashqari, tajovuzkor Log4Shell ekspluatatsiyasidan foydalanishi juda oson. U shunchaki dasturni jurnalda maxsus belgilar qatorini saqlashi kerak. Ilovalar muntazam ravishda foydalanuvchilar tomonidan yuborilgan va qabul qilingan xabarlar yoki tizim xatolarining tafsilotlari kabi turli xil hodisalarni qayd qilganligi sababli, bu zaiflikdan foydalanish juda oson va turli usullar bilan ishga tushirilishi mumkin.
Bo'lishi mumkin sizni qiziqtiradi
Apple allaqachon javob bergan
Kompaniya ma'lumotlariga ko'ra Eklektik yorug'lik kompaniyasi Apple allaqachon iCloud-da bu teshikni tuzatgan. Veb-saytda aytilishicha, iCloud-ning ushbu zaifligi 10 dekabrda hamon xavf ostida edi, bir kundan keyin esa undan foydalanish mumkin emas. Ekspluatatsiyaning o'zi hech qanday tarzda macOS-ga ta'sir qilmaganga o'xshaydi. Ammo Apple xavf ostida qolgan yagona kompaniya emas edi. Masalan, dam olish kunlarida Microsoft Minecraft-dagi teshikni tuzatdi.
Agar siz dasturchi va dasturchi bo'lsangiz, jurnal sahifalarini ko'rishingiz mumkin yalang'och xavfsizlik, bu erda siz butun masalani muhokama qiladigan juda keng qamrovli maqolani topasiz.
