נראה ששירות iCloud פגיע לניצול החדש של "Log4Shell".

ניצול חדש עבור iCloud

חברות אבטחה לא מפסיקות לעבוד. "תודה" לכל אלה שתמיד מחפשים נקודות תורפה במערכות ההפעלה והשירותים העסקיים. בגללם, אנחנו נעשים בטוחים יותר ומיושמים אמצעי אבטחה טובים יותר. נכון שלפעמים הפגיעות הללו מנוצלות לטובתן, אבל גם מהן לומדים. החדש הוא ניצול שהם כינו «Log4Shell«. הוא מסוגל לנצל את החולשות של אפל ב-iCloud.

כפי שפרטה חברת האבטחה LunaSec, הפגיעות נמצאה לראשונה ב-log4j. זוהי ספריית קוד פתוח המשמשת יישומים ואתרים מרובים לרישום. כלומר, תהליך שמירת רשימה של פעילויות שבוצעו כדי לבדוק מאוחר יותר כדי למצוא ולתקן שגיאות אפשריות או כשלים אחרים. מומחה האבטחה מרקוס האצ'ינס אומר ש-Log4Shell עשויה להשפיע על מיליוני יישומים ברחבי העולם. הסיבה היא כי ספריית log4j נמצאת בשימוש נרחב על ידי מפתחים. כדי לנצל את הפגיעות, האקרים חייבים לשמור מחרוזת מיוחדת עם תווים ספציפיים ברישום. תוקפים יכולים אפילו להפעיל קוד זדוני באמצעות קודי QR.

כדי לנצל את הפגיעות, תוקף צריך לגרום לאפליקציה לשמור מחרוזת תווים מיוחדת ברישום. מכיוון שיישומים רושמים באופן שגרתי מגוון רחב של אירועים, כגון הודעות שנשלחו והתקבלו על ידי משתמשים, או פרטים על שגיאות מערכת, הפגיעות זה קל בצורה יוצאת דופן לניצול והוא יכול להיות מופעל במספר דרכים.

הפעם הראשונה שבה נראתה הניצול עובד בהצלחה הייתה במשחק הווידאו Minecraft. באמצעות צ'אט נוצלו פגיעויות שהתגלו. איפה "Log4Shell" הרגיש נוח. מומחי אבטחה טוענים זאת זה גם עלול להזיק לשירות iCloud של אפל. 

למרות שאפל לא הגיבה רשמית, הוא בטוח עובד על זה.


היה הראשון להגיב

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.