Adam Kos La setmana passada es va revelar que un forat de seguretat a l'eina de codi obert log4j posa en perill milions d'aplicacions utilitzades per usuaris de tot el món. Els mateixos experts en ciberseguretat l'han descrit com la vulnerabilitat de seguretat més greu dels últims 10 anys. I també afectava a Apple, concretament al seu iCloud.
Log4j és una eina de registre de codi obert àmpliament utilitzada per llocs web i aplicacions. Per tant, el forat de seguretat exposat es podria explotar en literalment milions d'aplicacions. Permet als pirates informàtics executar codi maliciós en servidors vulnerables i, suposadament, també pot afectar plataformes com iCloud o Steam. Això, a més, d'una forma molt senzilla, per això també se li va atorgar una nota de 10 sobre 10 pel que fa a la seva criticitat.
A més dels perills que suposa l'ús generalitzat de Log4j, és extremadament fàcil per a un atacant utilitzar l'explotació Log4Shell. Només ha de fer que l'aplicació desi una cadena especial de caràcters al registre. Com que les aplicacions registren habitualment una gran varietat d'esdeveniments, com ara missatges enviats i rebuts pels usuaris o detalls d'errors del sistema, aquesta vulnerabilitat és inusualment fàcil d'explotar i es pot activar de moltes maneres diferents.
Podria ser t'interessa
Apple ja ha respost
Segons l'empresa Companyia Eclèctica Light Apple ja ha arreglat aquest forat a iCloud. El lloc web afirma que aquesta vulnerabilitat d'iCloud encara estava en risc el 10 de desembre, mentre que un dia després ja no es podia utilitzar. L'explotació en si no sembla haver implicat macOS de cap manera. Però Apple no era l'única en risc. Durant el cap de setmana, per exemple, Microsoft va arreglar el seu forat a Minecraft.
Si sou desenvolupadors i programadors, podeu consultar les pàgines de la revista seguretat nua, on trobareu un article força complet on es parla de tot el tema.
