新聞 > 科教 > 正文

網路程式爆嚴重漏洞 蘋果iCloud等恐淪攻擊目標

—Java爆嚴重漏洞!恐淪黑客攻擊目標

Java出現名為Log4Shell的漏洞,蘋果iCloud、遊戲平台Steam等都可能淪為駭客攻擊目標,許多公司緊急修補中。(示意圖/圖取自Unsplash圖庫)

眾多公司的安全團隊都在緊急修補一個先前未知、名為Log4Shell的漏洞,這可能讓駭客透過網路侵入數以百萬款程式,蘋果 iCloud、遊戲平台Steam等都可能淪為駭客攻擊目標。

這項漏洞如果被利用,能利用遠端執行程式碼攻擊脆弱的伺服器,進一步讓駭客植入足以完全危害設備的惡意軟體。

科技新聞網站The Verge報導,這次曝光的漏洞存在於Java日誌框架的Log4j,被廣泛應用於各種應用程式和網路服務,是一種程式內的紀錄工具,保存執行活動的過程,方便在出現問題時進行檢查。幾乎每個網絡安全系統都會利用某種日誌框架進行紀錄,使得Log4j這類受歡迎的日誌框架影響廣泛。

著名資安研究員賀勤茲(Marcus Hutchins)在推特發文表示,有數以百萬款軟體都會受影響,「數以百萬款程式都使用Log4j記錄程式活動,駭客只需要讓應用程式接收一串特殊指令」。

這個漏洞首先在電玩遊戲Minecraft伺服器被發現,他們發現駭客可以通過發布聊天訊息來觸發漏洞。資安分析公司GreyNoise發布推文表示,公司已經檢測到許多伺服器正在網上搜索易受此漏洞攻擊的設備。

應用資安公司LunaSec發文稱,遊戲平台Steam和蘋果(Apple)的iCloud已經被發現存在漏洞。Valve和蘋果都沒有立即回應置評請求。

資安公司Cloudflare技術長葛蘭姆-康明(John Graham-Cumming)告訴The Verge,由於Java和日誌框架的Log4j廣受利用,這是非常嚴重的漏洞。因為有大量Java軟體連線到網路和後台系統。回顧過去10年,只有兩個漏洞的嚴重程度比得上這次。

目前Log4j已經釋出更新,開始修補漏洞,但直到所有漏洞更新之前,Log4Shell依舊是一大威脅。

責任編輯: 李韻  來源:中央社 轉載請註明作者、出處並保持完整。

本文網址:https://tw.aboluowang.com/2021/1212/1682359.html