开源 Log4j 被发现名为 Log4Shell 漏洞,导致包括 Apple iCloud、Steam、Minecraft、Amazon、Twitter、Minecraft 等相关服务的密码数据都有外泄的可能。据The Verge的报导,日志框架 Log4j 的作用是用以记录 app 和服务的所有事件,以便开发者可以分析,解决问题。
据Ars Technika的说法,首个公布发现了这个 Log4Shell 漏洞的是 Minecraft,他们表示这漏洞会让黑客可以在游戏里执行恶意代码。然而在这个发现之后不久,曾经阻止 WannaCry 散播的安全研究员 Marcus Hutchins,就表示这个 Log4Shell 有着极高严重性,因为有上百万个不同软件 都在使用 Log4j。
Log4Shell 漏洞可让黑客在目标服务器中执行恶意代码并下载数据,而且执行的方法非常简单,只需要在服务里留言就可以触发动作。以 Minecraft 为例,Hutchins 表示只需要在留言区中发送信息就可以了。至于要在 Apple 服务器中触发的漏洞,app 安全研究公司LunaSec表示更是简单得只要更改 iPhone 名称就可以。
幸好Log4j已经得到修复,而受影响的服务,包括 Minecraft 和 Cloudflare 也提供了补丁来保护使用者。
标签:
安全