Minulý týden vyšlo najevo, že bezpečnostní díra v open-source nástroji log4j ohrožuje miliony aplikací používajících uživateli po celém světě. Sami odborníci na kybernetickou bezpečnost ji popsali jako nejzávažnější bezpečnostní zranitelnost za posledních 10 let. A týkala se i Applu, konkrétně jeho iCloudu.
Log4j je open-source protokolovací nástroj široce používaný weby i aplikacemi. Odhalená bezpečnostní díra by mohla tedy být zneužita doslova v milionech aplikací. Umožňuje totiž hackerům spouštět škodlivý kód na zranitelných serverech a údajně může ovlivnit i platformy, jakými jsou iCloud nebo třeba Steam. To navíc velice jednoduchou formou, a proto jí také byla udělena známka 10 z 10 s ohledem na její kritičnost.
Kromě nebezpečí, které představuje rozšířené používání Log4j, je pro útočníka extrémně snadné využít exploit Log4Shell. Stačí mu přimět aplikaci, aby do protokolu uložila speciální řetězec znaků. Vzhledem k tomu, že aplikace rutinně zaznamenávají širokou škálu událostí, jako jsou zprávy odeslané a přijaté uživateli nebo podrobnosti o systémových chybách, lze tuto chybu zabezpečení neobvykle snadno zneužít, přičemž ji lze spustit mnoha různými způsoby.
Apple už reagoval
Podle společnosti Eclectic Light Company Apple tuto díru v iCloudu už opravil. Web totiž uvádí, že tato zranitelnost iCloudu hrozila ještě 10. prosince, kdežto o den později ji již využít nešlo. Jak se zdá, samo zneužití se nijak netýkalo systému macOS. Apple ale nebyl jediným, kdo byl vystaven riziku. O víkendu Microsoft např. opravil jeho díru v Minecraftu.
Jste-li vývojáři a programátoři, můžete se podívat na stránky magazínu nakedsecurity, kde najdete poměrně komplexní článek pojednávající o celém problému.