Java出现名为Log4Shell的漏洞,苹果iCloud、游戏平台Steam等都可能沦为骇客攻击目标,许多公司紧急修补中。(示意图/图取自Unsplash图库)
众多公司的安全团队都在紧急修补一个先前未知、名为Log4Shell的漏洞,这可能让骇客透过网路侵入数以百万款程式,苹果 iCloud、游戏平台Steam等都可能沦为骇客攻击目标。
这项漏洞如果被利用,能利用远端执行程式码攻击脆弱的服务器,进一步让骇客植入足以完全危害设备的恶意软体。
科技新闻网站The Verge报导,这次曝光的漏洞存在于Java日志框架的Log4j,被广泛应用于各种应用程式和网路服务,是一种程式内的纪录工具,保存执行活动的过程,方便在出现问题时进行检查。几乎每个网络安全系统都会利用某种日志框架进行纪录,使得Log4j这类受欢迎的日志框架影响广泛。
著名资安研究员贺勤兹(Marcus Hutchins)在推特发文表示,有数以百万款软体都会受影响,“数以百万款程式都使用Log4j记录程式活动,骇客只需要让应用程式接收一串特殊指令”。
这个漏洞首先在电玩游戏Minecraft服务器被发现,他们发现骇客可以通过发布聊天讯息来触发漏洞。资安分析公司GreyNoise发布推文表示,公司已经检测到许多服务器正在网上搜索易受此漏洞攻击的设备。
应用资安公司LunaSec发文称,游戏平台Steam和苹果(Apple)的iCloud已经被发现存在漏洞。Valve和苹果都没有立即回应置评请求。
资安公司Cloudflare技术长葛兰姆-康明(John Graham-Cumming)告诉The Verge,由于Java和日志框架的Log4j广受利用,这是非常严重的漏洞。因为有大量Java软体连线到网路和后台系统。回顾过去10年,只有两个漏洞的严重程度比得上这次。
目前Log4j已经释出更新,开始修补漏洞,但直到所有漏洞更新之前,Log4Shell依旧是一大威胁。
