最近網絡程式語言Java被爆出現零星漏洞,超過百萬個程式受影響,有可能成為駭客的主要目標,暴露用家資訊,其中包括蘋果iCloud、遊戲平台Steam以及遊戲Minecraft等程式。
據美媒《The Verge》報導,這次的漏洞名為「Log4Shell」,存在於網路Java中的log4j ,是一種程式內的紀錄工具,方便開發者在系統出問題時進行檢查。而這次存在的漏洞將使駭客能夠進行遠端伺服器攻擊,在用戶的設備商植入惡意軟件,並進行入侵。
資訊安全研究員賀勤茲(Marcus Hutchins)推特發文表示,目前有超過百萬個軟件都在使用Log4j紀錄程式,例如蘋果iCloud、Steam、Twitter、Minecraft等。並指出,「當駭客只要輸入一串特殊指令,就能遠端執行程式代碼,入侵相關程式」。
這個漏洞在電玩遊戲Minecraft伺服器首度被發現,駭客可以通過發布聊天訊息來觸發漏洞。資安分析公司GreyNoise推特發文表示,公司已檢測到許多伺服器正在網上搜索易受此漏洞攻擊的設備。
《The Verge》報導,資安公司Cloudflare技術長葛蘭姆·康明(John Graham-Cumming)表示,Java和日誌框架的Log4j被廣用,這是非常嚴重的漏洞。因有大量Java軟體連線到網路和後台系統。回顧過去10年,只有兩個漏洞比得上這次嚴重。
目前Log4j已推出更新並開始修補漏洞。但為確保各大軟件及平台不會受入侵,Log4Shell 漏洞的更新檔案,應將是未來科技公司更看重的一部分。
