Java爆嚴重漏洞 恐淪黑客攻擊目標
2021-12-12 00:00(星島日報報道)電腦程式設計語言Java最近被發現一個先前未知、名為「Log4Shell」的漏洞,這可能讓黑客透過網絡侵入數以百萬款應用程式,暴露用戶的資訊。由於Java被廣泛應用,蘋果雲端儲存服務iCloud、遊戲平台Steam等都可能淪為黑客攻擊目標,許多公司的安全團隊正緊急修補這個漏洞。
科技新聞網站The Verge報道,這次曝光的「Log4Shell」漏洞存在於Java日誌框架的Log4j,被廣泛應用於各種應用程式和網絡服務,是一種程式內的紀錄工具,保存執行活動的過程,方便在出現問題時進行檢查。幾乎每個網絡安全系統都會利用某種日誌框架進行紀錄,使得Log4j這類受歡迎的日誌框架影響廣泛。這項漏洞如果被黑客利用,能以遠端執行程式碼攻擊脆弱的伺服器,進一步讓黑客植入足以完全危害設備的惡意軟件。
著名資訊安全研究員賀勤茲推文表示,有數以百萬款軟件都會受影響,例如蘋果iCloud、Twitter、遊戲平台Steam,以及受到兒童歡迎的Minecraft網上遊戲等。黑客只需讓應用程式接收一串特殊指令,就能遠端執行程式代碼,入侵相關程式。
網絡安全公司Crowdstrike的高級智能副總裁邁耶斯,在距離這項Java漏洞被發現後十二小時,即上周五早上說:「網絡現正在着火,人們正趕往修補(漏洞),而某些人正湧往利用這個漏洞。」他指這個漏洞已被完全變為「武器」,意指作惡者已研發了利用這個漏洞的工具,並向其他人傳送。
這個漏洞首先在電玩遊戲Minecraft的伺服器被發現,他們發現黑客可以通過發布聊天訊息來觸發漏洞。資訊安全分析公司GreyNoise推文表示,公司已經檢測到許多伺服器正在網上搜索易受此漏洞攻擊的設備。應用資訊安全公司LunaSec推文稱,遊戲平台Steam和蘋果的iCloud已經被發現存在漏洞。
資訊安全公司Cloudflare技術主任葛蘭姆-康明告訴網站The Verge,由於Java和日誌框架的Log4j廣泛使用,這是非常嚴重的漏洞。因為有大量Java軟件連到網絡和後台系統。回顧過去十年,只有兩個漏洞的嚴重程度比得上這次。
目前Log4j已經釋出更新版,並開始修補漏洞,但直到所有漏洞更新之前,「Log4Shell」漏洞依舊是一大威脅。
關鍵字
最新回應