日誌框架爆漏洞,iCloud、Minecraft、Steam 等雲端服務密碼全受影響
開源代碼 Log4j 被發現名為 Log4Shell 漏洞,幸而已經被修復。
深泛應用到不同網路服務,包括 Apple iCloud、Steam、Minecraft、Amazon、Twitter、Minecraft 等的開源日誌框架 Log4j,被發現存有名為 Log4Shell 漏洞,導致相關服務的密碼數據都有外洩的可能。據 The Verge 的報導,日誌框架 Log4j 的作用是用以記錄 app 和服務發生過的所有事件,以便開發者可以分析效能,同時可以用來除錯。
據 Ars Technika 的說法,首個公佈發現了這個 Log4Shell 漏洞的是 Minecraft,他們表示這漏洞會讓駭客可以在遊戲裡執行惡意程式。然而在這個發現之後不久,曾經阻止 WannaCry 散播的安全研究員 Marcus Hutchins,就表示這個 Log4Shell 有著極高嚴重性,因為有上百萬個不同 app 都有使用 Log4j 框架。
具體來說,Log4Shell 漏洞可讓駭客在目標服務的伺服器中執行惡意程序並下載數據,而且執行的方法非常簡單,只需要在服務裡留言就可以觸發動作。以 Minecraft 為例,Hutchins 表示只需要在留言區中張貼訊息就可以了。至於要在 Apple 伺服器中觸發漏洞,app 安全研究公司 LunaSec 表示更是簡單得只要更改 iPhone 名稱就可以。
幸好的是 Log4j 已經修復問題,而受影響的服務,包括 Minecraft 和 Cloudflare 也個別有補丁來保護使用者。還有其他在使用 Log4j 框架的服務,也請各自的開發者盡快更新。