Java爆嚴重漏洞 恐淪黑客攻擊目標

（星島日報報道）電腦程式設計語言Java最近被發現一個先前未知、名為「Log4Shell」的漏洞，這可能讓黑客透過網絡侵入數以百萬款應用程式，暴露用戶的資訊。由於Java被廣泛應用，蘋果雲端儲存服務iCloud、遊戲平台Steam等都可能淪為黑客攻擊目標，許多公司的安全團隊正緊急修補這個漏洞。

科技新聞網站The Verge報道，這次曝光的「Log4Shell」漏洞存在於Java日誌框架的Log4j，被廣泛應用於各種應用程式和網絡服務，是一種程式內的紀錄工具，保存執行活動的過程，方便在出現問題時進行檢查。幾乎每個網絡安全系統都會利用某種日誌框架進行紀錄，使得Log4j這類受歡迎的日誌框架影響廣泛。這項漏洞如果被黑客利用，能以遠端執行程式碼攻擊脆弱的伺服器，進一步讓黑客植入足以完全危害設備的惡意軟件。

著名資訊安全研究員賀勤茲推文表示，有數以百萬款軟件都會受影響，例如蘋果iCloud、Twitter、遊戲平台Steam，以及受到兒童歡迎的Minecraft網上遊戲等。黑客只需讓應用程式接收一串特殊指令，就能遠端執行程式代碼，入侵相關程式。

網絡安全公司Crowdstrike的高級智能副總裁邁耶斯，在距離這項Java漏洞被發現後十二小時，即上周五早上說：「網絡現正在着火，人們正趕往修補（漏洞），而某些人正湧往利用這個漏洞。」他指這個漏洞已被完全變為「武器」，意指作惡者已研發了利用這個漏洞的工具，並向其他人傳送。
這個漏洞首先在電玩遊戲Minecraft的伺服器被發現，他們發現黑客可以通過發布聊天訊息來觸發漏洞。資訊安全分析公司GreyNoise推文表示，公司已經檢測到許多伺服器正在網上搜索易受此漏洞攻擊的設備。應用資訊安全公司LunaSec推文稱，遊戲平台Steam和蘋果的iCloud已經被發現存在漏洞。

資訊安全公司Cloudflare技術主任葛蘭姆-康明告訴網站The Verge，由於Java和日誌框架的Log4j廣泛使用，這是非常嚴重的漏洞。因為有大量Java軟件連到網絡和後台系統。回顧過去十年，只有兩個漏洞的嚴重程度比得上這次。

目前Log4j已經釋出更新版，並開始修補漏洞，但直到所有漏洞更新之前，「Log4Shell」漏洞依舊是一大威脅。