Adam Kos Forrige uke ble det avslørt at et sikkerhetshull i log4j-verktøyet med åpen kildekode setter millioner av applikasjoner brukt av brukere over hele verden i fare. Eksperter på nettsikkerhet har selv beskrevet det som det mest alvorlige sikkerhetssårbarheten de siste 10 årene. Og det gjaldt også Apple, spesielt iCloud.
Log4j er et åpen kildekode-loggingsverktøy som er mye brukt av nettsteder og applikasjoner. Det synlige sikkerhetshullet kan derfor utnyttes i bokstavelig talt millioner av applikasjoner. Det lar hackere kjøre ondsinnet kode på sårbare servere og kan angivelig også påvirke plattformer som iCloud eller Steam. Dette for øvrig i en veldig enkel form, og derfor ble den også gitt karakteren 10 av 10 med hensyn til kritikalitet.
I tillegg til farene som utgjøres av den utbredte bruken av Log4j, er det ekstremt enkelt for en angriper å bruke Log4Shell-utnyttelsen. Han må bare få applikasjonen til å lagre en spesiell tegnstreng i loggen. Fordi applikasjoner rutinemessig logger en lang rekke hendelser, for eksempel meldinger sendt og mottatt av brukere eller detaljer om systemfeil, er denne sårbarheten uvanlig enkel å utnytte, og kan utløses på mange forskjellige måter.
Det kan være interesserer deg
Apple har allerede svart
Ifølge selskapet Eclectic Light Company Apple har allerede fikset dette hullet i iCloud. Nettstedet opplyser at denne iCloud-sårbarheten fortsatt var i faresonen 10. desember, mens den en dag senere ikke lenger kunne brukes. Selve utnyttelsen ser ikke ut til å ha involvert macOS på noen måte. Men Apple var ikke den eneste i faresonen. I løpet av helgen fikset Microsoft for eksempel hullet sitt i Minecraft.
Er du utviklere og programmerere kan du sjekke ut bladets sider naken sikkerhet, hvor du finner en ganske omfattende artikkel som diskuterer hele saken.
