Apsaugos įmonės nenustoja veikti. „Ačiū“ visiems, kurie nuolat ieško spragų įmonių operacinėse sistemose ir paslaugose. Dėl jų esame vis saugesni ir diegiamos geresnės saugumo priemonės. Tiesa, kartais šios spragos išnaudojamos siekiant asmeninės naudos, tačiau iš jų taip pat mokomės. Naujasis yra išnaudojimas, kurį jie pavadino „Log4Shell«. Jis gali pasinaudoti Apple iCloud trūkumais.
Kaip detalizuoja saugos įmonė LunaSec, Pažeidžiamumas pirmą kartą buvo rastas log4j. Tai atvirojo kodo biblioteka, kurią registravimui naudoja kelios programos ir svetainės. Tai yra, atliktų veiklų sąrašo tvarkymo procesas, kad vėliau būtų galima jas peržiūrėti, siekiant ieškoti ir ištaisyti galimas klaidas ar kitus gedimus. Saugumo ekspertas Marcusas Hutchinsas teigia, kad „Log4Shell“ gali paveikti milijonus programų visame pasaulyje. Priežastis ta, kad log4j biblioteką plačiai naudoja kūrėjai. Norėdami išnaudoti pažeidžiamumą, įsilaužėliai registre turi įrašyti specialią eilutę su konkrečiais simboliais. Užpuolikai netgi gali suaktyvinti kenkėjišką kodą naudodami QR kodus.
Norėdamas išnaudoti pažeidžiamumą, užpuolikas turi priversti programą įrašyti specialią simbolių eilutę registre. Kadangi programos reguliariai registruoja daugybę įvykių, pvz., vartotojų išsiųstus ir gautus pranešimus arba išsamią informaciją apie sistemos klaidas, pažeidžiamumas yra neįprastai lengva išnaudoti ir gali būti suaktyvintas keliais būdais.
Pirmą kartą sėkmingas išnaudojimas buvo pastebėtas vaizdo žaidime „Minecraft“. Aptiktos spragos buvo išnaudotos per pokalbį. Kur „Log4Shell“ jautėsi patogiai. Taip teigia saugumo specialistai Tai taip pat gali pakenkti „Apple“ „iCloud“ paslaugai.
Nors „Apple“ oficialiai neatsakė, Esu tikras, kad jis tuo dirba.
