Java爆严重漏洞 恐沦黑客攻击目标

　　（星岛日报报道）电脑程式设计语言Java最近被发现一个先前未知、名为「Log4Shell」的漏洞，这可能让黑客透过网络侵入数以百万款应用程式，暴露用户的资讯。由于Java被广泛应用，苹果云端储存服务iCloud、游戏平台Steam等都可能沦为黑客攻击目标，许多公司的安全团队正紧急修补这个漏洞。
　　科技新闻网站The Verge报道，这次曝光的「Log4Shell」漏洞存在于Java日志框架的Log4j，被广泛应用于各种应用程式和网络服务，是一种程式内的纪录工具，保存执行活动的过程，方便在出现问题时进行检查。几乎每个网络安全系统都会利用某种日志框架进行纪录，使得Log4j这类受欢迎的日志框架影响广泛。这项漏洞如果被黑客利用，能以远端执行程式码攻击脆弱的伺服器，进一步让黑客植入足以完全危害设备的恶意软件。
　　著名资讯安全研究员贺勤兹推文表示，有数以百万款软件都会受影响，例如苹果iCloud、Twitter、游戏平台Steam，以及受到儿童欢迎的Minecraft网上游戏等。黑客只需让应用程式接收一串特殊指令，就能远端执行程式代码，入侵相关程式。
　　网络安全公司Crowdstrike的高级智能副总裁迈耶斯，在距离这项Java漏洞被发现后十二小时，即上周五早上说：「网络现正在着火，人们正赶往修补（漏洞），而某些人正涌往利用这个漏洞。」他指这个漏洞已被完全变为「武器」，意指作恶者已研发了利用这个漏洞的工具，并向其他人传送。
这个漏洞首先在电玩游戏Minecraft的伺服器被发现，他们发现黑客可以通过发布聊天讯息来触发漏洞。资讯安全分析公司GreyNoise推文表示，公司已经检测到许多伺服器正在网上搜索易受此漏洞攻击的设备。应用资讯安全公司LunaSec推文称，游戏平台Steam和苹果的iCloud已经被发现存在漏洞。
　　资讯安全公司Cloudflare技术主任葛兰姆-康明告诉网站The Verge，由于Java和日志框架的Log4j广泛使用，这是非常严重的漏洞。因为有大量Java软件连到网络和后台系统。回顾过去十年，只有两个漏洞的严重程度比得上这次。
　　目前Log4j已经释出更新版，并开始修补漏洞，但直到所有漏洞更新之前，「Log4Shell」漏洞依旧是一大威胁。