软件漏洞十年来最严重 全球数亿部电脑受考验  

 (星岛日报报道)一个全球广泛使用的软件程式库内新发现的漏洞，正造成网络大乱，黑客摩拳擦掌趁机作乱，逼使各大企业急补漏洞。网络保安专家指，这个Apache Log4j远端程式码执行漏洞，是过去十年来最大且最严重的单一软件漏洞。CNN报道，这项软件漏洞令全球数以亿计电脑等装置受潜在影响。世界各地的公司和政府机构纷纷采取紧急行动，防范源于此漏洞的网络攻击。
这个漏洞隐藏在一款名为Log4j的不起眼伺服器软件之中，网络安全人员表示，企业网络非常广泛地使用Log4j。漏洞存在于电脑程式设计语言Java日志框架的Log4j，被广泛应用于各种应用程式和网络服务，是一种程式内的记录工具，保存执行活动的过程，方便在出现问题时进行检查。几乎每个网络安全系统都会利用某种日志框架进行记录，使得Log4j这类受欢迎的日志框架影响广泛。
CISA促各公司应战

美国国土安全部旗下网络安全及基建安全局（CISA）局长伊斯特利周一在视像会议上表示，这次Apache Log4j漏洞，是多年来看过最大的漏洞之一，敦促各公司让员工在假日上班，应对那些欲使用新方法利用这种漏洞的人。网络安全公司Tenable行政总裁、美国电脑紧急应变小组创始董事约伦（Amit Yoran）更直言，Apache Log4j远端程式码执行漏洞是过去十年来最大且最严重的单一漏洞。

CNN报道，CISA局长伊斯特利已经与大型金融机构、医疗保健机构和其他大企业的高层接触，商讨对策。伊斯特利强调，必须采取行动应对这个严重漏洞，否则全球各地可能有数以亿计的电脑和电子装置会受到影响。伊斯特利说：「今次发现的软件漏洞，在我整个职业生涯中就算不是最严重的，也其中一次最严重事件。我们预计有些人会广泛地利用这种漏洞，因此我们必须在有限的时间内采取必须的步骤，藉以降低发生破坏性事故的可能性。」

作为国土安全部的一个组成部分，CISA最快周二会设立专门网站，以提供讯息并打击虚假讯息。该机构负责网络安全的执行助理主任戈德斯坦说，该漏洞将「允许远程攻击者轻松控制其欲利用该漏洞的系统」。
iCloud Steam或受影响

美国政府上周五对私人企业警告Log4j漏洞及其可能造成的风险。该漏洞可能让黑客透过网络入侵数以百万款程式，苹果iCloud、游戏平台Steam等都可能沦为黑客攻击目标。有安全专家表示，虽然Apache已释出修补程式，受影响的公司和网络捍衞者仍需时间找出脆弱的软件，确实执行修补程式。德国已启动国家资讯科技危机处理中心，以应对这宗其称为「极其严重」的软件漏洞。

《华尔街日报》引述Log4j开发团队志愿者Ralph Goers称，这个漏洞在上个月底报告给该团队(Log4j开发团队由一群程式员志愿者组成，无偿发布软件)。研究人员说，这个漏洞首先在电玩游戏Minecraft伺服器被发现，他们发现黑客可以通过发布聊天讯息来触发漏洞。资讯安全分析公司GreyNoise推文称，公司已经检测到许多伺服器正在网上搜索易受此漏洞攻击的设备。微软上周五发布了一份通知，建议部分Minecraft游戏玩家升级软件以修补该漏洞。

思科公司正在排查其一百五十多款产品，以寻找Log4j漏洞，截至上周六，思科已发现有三款产品存在该漏洞。