В библиотеке Apache Log4j для программной платформы Java обнаружили уязвимость, которая может поставить под угрозу использующие ее сервисы, пишет Wired. Библиотеку используют миллионы приложений, отмечают эксперты по кибербезопасности.
Библиотека Log4j используется для ведения списка событий в приложении. В ней обнаружили уязвимость, которая может позволить хакеру удаленно запускать любой код на устройстве, если в журнал будет записана строка с определенной командой.
The Verge отмечает, что уязвимость изначально обнаружили на сайтах, на которых размещены серверы игры Minecraft. Хакеры могли вызвать уязвимость, публикуя сообщения в чате игры. Позже компания по кибербезопасности GreyNoise обнаружила многочисленные серверы, которые ищут в интернете устройства, уязвимые для взлома.
«Уязвимость в Log4J настолько опасна, что попытаемся внедрить хотя бы какую-то защиту для всех пользователей по умолчанию, даже для бесплатных клиентов», — написал в твиттере глава сервиса Cloudflare Мэтью Принс. Компания по безопасности приложений LunaSec сообщила, что уязвимыми к взлому оказались в том числе игровая платформа Steam и облачный сервис Apple iCloud. «Это ошибка катастрофических масштабов», — отметили в компании.
Apache, разработчики библиотеки, заявили, что оценивают уязвимость с «критической» серьезностью, и опубликовали первые обновления, которые должны уменьшить потенциальный вред, 10 декабря.