Adam Kos La settimana scorsa è stato rivelato che una falla di sicurezza nello strumento open source log4j sta mettendo a rischio milioni di applicazioni utilizzate dagli utenti di tutto il mondo. Gli stessi esperti di sicurezza informatica l’hanno descritta come la vulnerabilità di sicurezza più grave degli ultimi 10 anni. E ha riguardato anche Apple, in particolare iCloud.
Log4j è uno strumento di registrazione open source ampiamente utilizzato da siti Web e applicazioni. La falla di sicurezza esposta potrebbe quindi essere sfruttata letteralmente in milioni di applicazioni. Permette agli hacker di eseguire codice dannoso su server vulnerabili e presumibilmente può colpire anche piattaforme come iCloud o Steam. Questo, peraltro, in una forma molto semplice, motivo per cui gli è stato assegnato anche un voto di 10 su 10 per quanto riguarda la sua criticità.
Oltre ai pericoli derivanti dall'uso diffuso di Log4j, è estremamente facile per un utente malintenzionato utilizzare l'exploit Log4Shell. Deve solo fare in modo che l'applicazione salvi una speciale stringa di caratteri nel registro. Poiché le applicazioni registrano regolarmente un'ampia varietà di eventi, come messaggi inviati e ricevuti dagli utenti o dettagli di errori di sistema, questa vulnerabilità è insolitamente facile da sfruttare e può essere attivata in molti modi diversi.
Potrebbe essere ti interessa
Apple ha già risposto
Secondo l'azienda Compagnia di luci eclettica Apple ha già risolto questo buco in iCloud. Il sito web afferma che questa vulnerabilità di iCloud era ancora a rischio il 10 dicembre, mentre il giorno dopo non poteva più essere utilizzata. L'exploit in sé non sembra aver coinvolto in alcun modo macOS. Ma Apple non era l’unica a rischio. Durante il fine settimana, ad esempio, Microsoft ha riparato il suo buco in Minecraft.
Se siete sviluppatori e programmatori potete consultare le pagine della rivista nudasicurezza, dove troverai un articolo abbastanza completo che tratta l'intera questione.
