อดัม คอส เมื่อสัปดาห์ที่แล้วมีการเปิดเผยว่าช่องโหว่ด้านความปลอดภัยในเครื่องมือ log4j แบบโอเพ่นซอร์สกำลังทำให้แอปพลิเคชันนับล้านที่ผู้ใช้ทั่วโลกใช้งานตกอยู่ในความเสี่ยง ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เองก็อธิบายว่านี่เป็นช่องโหว่ด้านความปลอดภัยที่ร้ายแรงที่สุดในรอบ 10 ปีที่ผ่านมา และยังเกี่ยวข้องกับ Apple โดยเฉพาะ iCloud
Log4j เป็นเครื่องมือบันทึกข้อมูลโอเพ่นซอร์สที่ใช้กันอย่างแพร่หลายโดยเว็บไซต์และแอปพลิเคชัน ช่องโหว่ด้านความปลอดภัยที่ถูกเปิดเผยจึงสามารถถูกนำไปใช้ประโยชน์ในแอปพลิเคชันนับล้านอย่างแท้จริง ช่วยให้แฮกเกอร์เรียกใช้โค้ดที่เป็นอันตรายบนเซิร์ฟเวอร์ที่มีช่องโหว่และอาจส่งผลต่อแพลตฟอร์มเช่น iCloud หรือ Steam อีกด้วย ยิ่งไปกว่านั้น ในรูปแบบที่เรียบง่ายมาก ซึ่งเป็นเหตุผลว่าทำไมจึงได้รับคะแนน 10 เต็ม 10 ในส่วนที่เกี่ยวข้องกับการวิพากษ์วิจารณ์
นอกจากอันตรายที่เกิดจากการใช้ Log4j อย่างแพร่หลายแล้ว ผู้โจมตียังสามารถใช้ประโยชน์จาก Log4Shell ได้อีกด้วย เขาเพียงแค่ต้องทำให้แอปพลิเคชันบันทึกสตริงอักขระพิเศษในบันทึก เนื่องจากแอปพลิเคชันจะบันทึกเหตุการณ์ต่างๆ เป็นประจำ เช่น ข้อความที่ส่งและรับโดยผู้ใช้หรือรายละเอียดข้อผิดพลาดของระบบ ช่องโหว่นี้จึงถูกโจมตีได้ง่ายผิดปกติ และสามารถถูกกระตุ้นได้หลายวิธี
มันอาจจะเป็น สนใจคุณ
Apple ได้ตอบกลับไปแล้ว
ตามบริษัท บริษัท แสงผสมผสาน Apple ได้แก้ไขช่องโหว่นี้ใน iCloud แล้ว เว็บไซต์ระบุว่าช่องโหว่ iCloud นี้ยังคงตกอยู่ในความเสี่ยงในวันที่ 10 ธันวาคม แต่หนึ่งวันต่อมาก็ไม่สามารถใช้งานได้อีกต่อไป ดูเหมือนว่าการใช้ประโยชน์ดังกล่าวจะไม่เกี่ยวข้องกับ macOS แต่อย่างใด แต่ Apple ไม่ใช่คนเดียวที่ตกอยู่ในความเสี่ยง ตัวอย่างเช่น ในช่วงสุดสัปดาห์ Microsoft ได้แก้ไขช่องโหว่ใน Minecraft
หากคุณเป็นนักพัฒนาและโปรแกรมเมอร์ คุณสามารถดูหน้านิตยสารได้ การรักษาความปลอดภัยที่เปลือยเปล่าซึ่งคุณจะพบบทความที่ค่อนข้างครอบคลุมซึ่งอภิปรายประเด็นทั้งหมด
