آدم كوس في الأسبوع الماضي، تم الكشف عن وجود ثغرة أمنية في أداة log4j مفتوحة المصدر تعرض ملايين التطبيقات التي يستخدمها المستخدمون حول العالم للخطر. وقد وصفها خبراء الأمن السيبراني أنفسهم بأنها أخطر ثغرة أمنية في السنوات العشر الماضية. ويتعلق الأمر أيضًا بشركة Apple، وتحديدًا iCloud.
Log4j هي أداة تسجيل مفتوحة المصدر تستخدم على نطاق واسع بواسطة مواقع الويب والتطبيقات. وبالتالي يمكن استغلال الثغرة الأمنية التي تم الكشف عنها في ملايين التطبيقات. فهو يسمح للمتسللين بتشغيل تعليمات برمجية ضارة على خوادم ضعيفة ويمكن أن يؤثر أيضًا على منصات مثل iCloud أو Steam. علاوة على ذلك، يتم ذلك بشكل بسيط جدًا، ولهذا السبب تم منحه أيضًا درجة 10 من 10 فيما يتعلق بأهميته.
بالإضافة إلى المخاطر التي يشكلها الاستخدام الواسع النطاق لـ Log4j، من السهل جدًا على المهاجم استخدام استغلال Log4Shell. عليه فقط أن يجعل التطبيق يحفظ سلسلة خاصة من الأحرف في السجل. نظرًا لأن التطبيقات تقوم بشكل روتيني بتسجيل مجموعة واسعة من الأحداث، مثل الرسائل المرسلة والمستلمة من قبل المستخدمين أو تفاصيل أخطاء النظام، فمن السهل استغلال هذه الثغرة الأمنية بشكل غير معتاد، ويمكن تشغيلها بعدة طرق مختلفة.
يمكن ان تكون اثار اهتمامك
وقد استجابت أبل بالفعل
وفقا للشركة شركة انتقائية لايت لقد قامت شركة Apple بالفعل بإصلاح هذه الثغرة في iCloud. يشير موقع الويب إلى أن ثغرة iCloud هذه كانت لا تزال معرضة للخطر في 10 ديسمبر، بينما لم يعد من الممكن استخدامها بعد يوم واحد. لا يبدو أن الاستغلال نفسه قد شمل نظام التشغيل macOS بأي شكل من الأشكال. لكن شركة أبل لم تكن الوحيدة المعرضة للخطر. خلال عطلة نهاية الأسبوع، على سبيل المثال، قامت شركة Microsoft بإصلاح الثغرة الموجودة في لعبة Minecraft.
إذا كنت من المطورين والمبرمجين، يمكنك الاطلاع على صفحات المجلة com.nakedsecurityحيث ستجد مقالة شاملة إلى حد ما تناقش الموضوع برمته.
