Ŝajnas, ke la iCloud-servo estas vundebla al la nova ekspluato "Log4Shell".

Nova ekspluato por iCloud

Sekurecaj kompanioj ne ĉesas labori. "Dankon" al ĉiuj, kiuj ĉiam serĉas vundeblecojn en komercaj operaciumoj kaj servoj. Pro ili, ni fariĝas pli sekuraj kaj pli bonaj sekurecaj mezuroj estas efektivigitaj. Estas vere, ke foje ĉi tiuj vundeblecoj estas ekspluatataj por sia propra profito, sed ili ankaŭ estas lernitaj de ĉi tiuj. La nova estas ekspluato, kiun ili nomis «Log4Shell«. Ĝi kapablas utiligi la iCloud-malfortojn de Apple.

Kiel detale de la sekureca kompanio LunaSec, la vundebleco unue estis trovita en log4j. Ĉi tio estas liberkoda biblioteko uzata de pluraj aplikoj kaj retejoj por registriĝo. Tio estas, la procezo konservi liston de agadoj faritaj por revizii poste por trovi kaj korekti eblajn erarojn aŭ aliajn misfunkciadojn. Fakulo pri sekureco Marcus Hutchins diras, ke Log4Shell povus influi milionojn da aplikoj tra la mondo. La kialo estas ĉar la biblioteko log4j estas vaste uzata de programistoj. Por ekspluati la vundeblecon, piratoj devas konservi specialan ĉenon kun specifaj signoj en la registro. Atakantoj eĉ povas aktivigi malican kodon per QR-kodoj.

Por ekspluati la vundeblecon, atakanto devas igi la aplikaĵon konservi specialan ĉenon de signoj en la registro. Ĉar aplikaĵoj rutine registras ampleksan gamon da eventoj, kiel mesaĝojn senditaj kaj ricevitaj de uzantoj, aŭ detaloj de sistemaj eraroj, la vundebleco ĝi estas nekutime facile ekspluati kaj ĝi povas esti ekigita en kelkaj manieroj.

La unua fojo, kiam la ekspluataĵo estis vidita funkcii sukcese, estis en la videoludo Minecraft. Per babilejo, malkovritaj vundeblecoj estis ekspluatitaj. Kie "Log4Shell" sentis komforta. Specialistoj pri sekureco asertas tion Ĝi ankaŭ povus damaĝi la iCloud-servon de Apple. 

Kvankam Apple ne oficiale respondis, li certe laboras pri ĝi.


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

Estu la unua por komenti

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita.

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.