Firmy ochroniarskie nie przestają działać. „Dziękuję” wszystkim, którzy zawsze szukają luk w systemach operacyjnych i usługach biznesowych. Dzięki nim stajemy się coraz bardziej bezpieczni i wdrażane są lepsze środki bezpieczeństwa. To prawda, że czasami te luki są wykorzystywane dla własnych korzyści, ale także się z nich wyciągają. Nowy to exploit, który nazwali «Log4Shell«. Jest w stanie wykorzystać słabości Apple iCloud.
Jak wyszczególniono w firmie ochroniarskiej LunaSec, luka została po raz pierwszy znaleziona w log4j. Jest to biblioteka typu open source używana do rejestracji przez wiele aplikacji i witryn internetowych. Oznacza to proces utrzymywania listy wykonanych czynności do późniejszego przeglądu w celu znalezienia i skorygowania ewentualnych błędów lub innych niepowodzeń. Ekspert ds. bezpieczeństwa Marcus Hutchins twierdzi, że Log4Shell może wpłynąć na miliony aplikacji na całym świecie. Powodem jest to, że biblioteka log4j jest szeroko stosowana przez programistów. Aby wykorzystać tę lukę, hakerzy muszą zapisać w rejestrze specjalny ciąg z określonymi znakami. Atakujący mogą nawet aktywować złośliwy kod za pomocą kodów QR.
Aby wykorzystać tę lukę, osoba atakująca musi zmusić aplikację do zapisania w rejestrze specjalnego ciągu znaków. Ponieważ aplikacje rutynowo rejestrują szeroki zakres zdarzeń, takich jak wiadomości wysyłane i odbierane przez użytkowników lub szczegóły błędów systemowych, luka niezwykle łatwo to wykorzystać i można go uruchomić na wiele sposobów.
Po raz pierwszy zaobserwowano, że exploit zadziałał z powodzeniem w grze wideo Minecraft. Poprzez czat wykorzystano odkryte luki w zabezpieczeniach. Gdzie "Log4Shell" czuł się komfortowo. Specjaliści od bezpieczeństwa twierdzą, że Może to również zaszkodzić usłudze iCloud firmy Apple.
Chociaż Apple oficjalnie nie odpowiedział, on na pewno nad tym pracuje.