Zavřít reklamu

Minulý týden vyšlo najevo, že bezpečnostní díra v open-source nástroji log4j ohrožuje miliony aplikací používajících uživateli po celém světě. Sami odborníci na kybernetickou bezpečnost ji popsali jako nejzávažnější bezpečnostní zranitelnost za posledních 10 let. A týkala se i Applu, konkrétně jeho iCloudu. 

Log4j je open-source protokolovací nástroj široce používaný weby i aplikacemi. Odhalená bezpečnostní díra by mohla tedy být zneužita doslova v milionech aplikací. Umožňuje totiž hackerům spouštět škodlivý kód na zranitelných serverech a údajně může ovlivnit i platformy, jakými jsou iCloud nebo třeba Steam. To navíc velice jednoduchou formou, a proto jí také byla udělena známka 10 z 10 s ohledem na její kritičnost.

bezpečnostní chyba
Zdroj: 9to5mac.com

Kromě nebezpečí, které představuje rozšířené používání Log4j, je pro útočníka extrémně snadné využít exploit Log4Shell. Stačí mu přimět aplikaci, aby do protokolu uložila speciální řetězec znaků. Vzhledem k tomu, že aplikace rutinně zaznamenávají širokou škálu událostí, jako jsou zprávy odeslané a přijaté uživateli nebo podrobnosti o systémových chybách, lze tuto chybu zabezpečení neobvykle snadno zneužít, přičemž ji lze spustit mnoha různými způsoby.

Apple už reagoval 

Podle společnosti Eclectic Light Company Apple tuto díru v iCloudu už opravil. Web totiž uvádí, že tato zranitelnost iCloudu hrozila ještě 10. prosince, kdežto o den později ji již využít nešlo. Jak se zdá, samo zneužití se nijak netýkalo systému macOS. Apple ale nebyl jediným, kdo byl vystaven riziku. O víkendu Microsoft např. opravil jeho díru v Minecraftu. 

Jste-li vývojáři a programátoři, můžete se podívat na stránky magazínu nakedsecurity, kde najdete poměrně komplexní článek pojednávající o celém problému. 

Diskuze k článku

celý text





Čtěte více