Adam Kos Geçtiğimiz hafta, açık kaynaklı log4j aracındaki bir güvenlik açığının, dünya çapında kullanıcılar tarafından kullanılan milyonlarca uygulamayı riske attığı ortaya çıktı. Siber güvenlik uzmanları bunu son 10 yılın en ciddi güvenlik açığı olarak tanımladılar. Ayrıca Apple'ı, özellikle de iCloud'unu da ilgilendiriyordu.
Log4j, web siteleri ve uygulamalar tarafından yaygın olarak kullanılan açık kaynaklı bir günlük kaydı aracıdır. Açığa çıkan güvenlik açığı bu nedenle kelimenin tam anlamıyla milyonlarca uygulamada kullanılabilir. Bilgisayar korsanlarının savunmasız sunucularda kötü amaçlı kod çalıştırmasına olanak tanıyor ve iddiaya göre iCloud veya Steam gibi platformları da etkileyebiliyor. Üstelik bu çok basit bir formda olduğundan kritiklik açısından da 10 üzerinden 10 notu ile ödüllendirildi.
Log4j'nin yaygın kullanımının yarattığı tehlikelere ek olarak, bir saldırganın Log4Shell istismarını kullanması son derece kolaydır. Sadece uygulamanın günlüğe özel bir karakter dizisini kaydetmesini sağlaması gerekiyor. Uygulamalar, kullanıcılar tarafından gönderilen ve alınan mesajlar veya sistem hatalarının ayrıntıları gibi çok çeşitli olayları rutin olarak kaydettiği için, bu güvenlik açığından yararlanılması alışılmadık derecede kolaydır ve birçok farklı yolla tetiklenebilir.
Olabilir seninle ilgilenmek
Apple zaten yanıt verdi
Şirkete göre Eklektik Işık Şirketi Apple, iCloud'daki bu açığı zaten düzeltti. Web sitesi, bu iCloud güvenlik açığının 10 Aralık'ta hala risk altında olduğunu, bir gün sonra ise artık kullanılamayacağını belirtiyor. İstismarın kendisi hiçbir şekilde macOS'u ilgilendirmiyor gibi görünüyor. Ancak risk altındaki tek kişi Apple değildi. Örneğin hafta sonu Microsoft, Minecraft'taki açığını düzeltti.
Geliştirici ve programcı iseniz derginin sayfalarına göz atabilirsiniz. çıplak güvenlik, burada tüm konuyu tartışan oldukça kapsamlı bir makale bulacaksınız.
