Adam Kos Viime viikolla paljastettiin, että avoimen lähdekoodin log4j-työkalun tietoturva-aukko vaarantaa miljoonia käyttäjien eri puolilla maailmaa käyttämiä sovelluksia. Kyberturvallisuuden asiantuntijat ovat itse kuvanneet sitä vakavimmaksi tietoturvahaavoittuvuudeksi viimeisen 10 vuoden aikana. Ja se koski myös Applea, erityisesti sen iCloudia.
Log4j on avoimen lähdekoodin kirjaustyökalu, jota käytetään laajasti verkkosivustoissa ja sovelluksissa. Paljastunutta tietoturva-aukkoa voidaan siis hyödyntää kirjaimellisesti miljoonissa sovelluksissa. Sen avulla hakkerit voivat ajaa haitallista koodia haavoittuvilla palvelimilla, ja sen väitetään vaikuttavan myös alustoihin, kuten iCloudiin tai Steamiin. Tämä lisäksi hyvin yksinkertaisessa muodossa, minkä vuoksi se sai myös kriittisyydestään arvosanan 10/10.
Log4j:n laajan käytön aiheuttamien vaarojen lisäksi hyökkääjän on erittäin helppoa käyttää Log4Shell-hyödyntämistä. Hänen on vain saatava sovellus tallentamaan lokiin erityinen merkkijono. Koska sovellukset kirjaavat rutiininomaisesti monenlaisia tapahtumia, kuten käyttäjien lähettämiä ja vastaanottamia viestejä tai tietoja järjestelmävirheistä, tätä haavoittuvuutta on epätavallisen helppo hyödyntää ja se voidaan laukaista monella eri tavalla.
Se voisi olla kiinnostaa sinua
Apple on jo vastannut
Yhtiön mukaan Eclectic Light Company Apple on jo korjannut tämän iCloudin aukon. Verkkosivustolla kerrotaan, että tämä iCloud-haavoittuvuus oli vielä vaarassa 10. joulukuuta, kun taas päivää myöhemmin sitä ei voitu enää käyttää. Itse hyväksikäyttö ei näytä liittyneen macOS:ään millään tavalla. Mutta Apple ei ollut ainoa vaarassa. Esimerkiksi Microsoft korjasi viikonloppuna aukkonsa Minecraftissa.
Jos olet kehittäjä ja ohjelmoija, voit tutustua lehden sivuihin alasti turvallisuus, josta löydät melko kattavan artikkelin, jossa käsitellään koko asiaa.
