Адам Кос Өткөн аптада ачык булактагы log4j куралындагы коопсуздук тешиги дүйнө жүзү боюнча колдонуучулар колдонгон миллиондогон тиркемелерди тобокелге салып жатканы аныкталган. Кибер коопсуздук боюнча эксперттер муну акыркы 10 жылдагы эң олуттуу коопсуздук алсыздыгы катары сыпатташкан. Ал ошондой эле Apple, атап айтканда, анын iCloud тиешелүү.
Log4j – бул веб-сайттар жана тиркемелер тарабынан кеңири колдонулган ачык булактуу журнал. Ошентип, ачык коопсуздук тешиги миллиондогон тиркемелерде колдонулушу мүмкүн. Бул хакерлерге зыяндуу кодду аялуу серверлерде иштетүүгө мүмкүндүк берет жана iCloud же Steam сыяктуу платформаларга да таасир этиши мүмкүн. Бул, анын үстүнө, өтө жөнөкөй түрдө, ошондуктан сынчылдыгы боюнча 10дон 10 деген баа берилген.
Log4jди кеңири колдонуудан келип чыккан коркунучтардан тышкары, чабуулчу үчүн Log4Shell эксплоитити колдонуу өтө оңой. Ал жөн гана тиркемени журналдагы белгилердин атайын саптарын сактап коюшу керек. Колдонмолор колдонуучулар тарабынан жөнөтүлгөн жана кабыл алынган билдирүүлөр же тутум каталарынын чоо-жайы сыяктуу түрдүү окуяларды үзгүлтүксүз журналга киргизгендиктен, бул кемчиликти пайдалануу адаттан тыш жеңил жана ар кандай жолдор менен ишке ашырылышы мүмкүн.
Болушу мүмкүн сени кызыктырат
Apple буга чейин жооп берген
Компаниянын маалыматы боюнча Эклектикалык жарык компаниясы Apple буга чейин iCloud бул тешигин оңдогон. Веб-сайтта бул iCloud алсыздыгы 10-декабрда дагы эле коркунучта болгон, ал эми бир күндөн кийин аны колдонууга мүмкүн болбой калганы айтылат. Эксплуатациянын өзү эч кандай түрдө macOS-ка тиешеси жок окшойт. Бирок Apple коркунучка кабылган жалгыз эмес. Дем алыш күндөрү, мисалы, Microsoft Minecraftдагы тешигин оңдоп койду.
Эгерде сиз иштеп чыгуучулар жана программисттер болсоңуз, анда журналдын баракчаларын текшере аласыз жылаңач коопсуздук, анда сиз бүт маселени талкуулаган бир кыйла толук макала таба аласыз.
