O eroare de securitate a sistemului de logare compromite conturile iCloud si Steam
|

O eroare de securitate a sistemului de logare compromite conturile iCloud si Steam

O noua deficienta de securitate a fost descoperita intr-o biblioteca de logare destul de populara, care este utilizata pe scara larga de aplicatii si servicii de pe internet – platforma de jocuri online Steam, de la Valve, si platforma de backup iCloud de la Apple.

Pentru o mica reimprospatare a notiunilor tehnice, sistemul de logare al unei aplicatii sau al unui serviciu nu are nimic de-a face cu procesul de logare propriu-zis al unui cont personal; mai degraba, acesta creeaza si pastreaza pur si simplu jurnalele tuturor activitatilor efectuate recent, la care se poate face referire in cazul in care aplicatia sau serviciul se blocheaza sau se confrunta cu orice alt tip de eroare.

Dupa cum noteaza Mobile Syrup, toate sistemele de retea folosesc un fel de utilitate de logare, iar atunci cand o astfel de biblioteca devine din pacate compromisa, o astfel de vulnerabilitate poate avea un impact serios si de mare anvergura la mai multe niveluri.

Biblioteca de logare in cauza se numeste „Apache Log4j” si este un utilitar de logare bazat pe Java creat de Apache Software Foundation (sau ASF).

Vulnerabilitatea descoperita in Log4j, care a devenit evidenta pentru prima data pe site-urile de gazduire Minecraft, permite in esenta atacatorilor sa injecteze siruri de cod direct in biblioteca. Vulnerabilitatea a fost denumita Log4Shell si, se pare, nu este deloc dificil de exploatat. Un atacator ar putea pur si simplu sa publice mesaje de chat pe un site pentru a o declansa, iar apoi sa introduca orice cod doreste in biblioteca de logare.

Vinerea trecuta, Minecraft a implementat un patch pentru a opri alte exploatari ale Log4Shell, dar exista multe alte platforme afectate – cum ar fi Steam, una dintre cele mai populare platforme de jocuri online, precum si nimeni altul decat iCloud al Apple.

Se pare ca aceste doua platforme raman vulnerabile la Log4Shell, desi Log4j si-a actualizat de atunci biblioteca cu un patch care, aparent, reduce riscul de exploatare, desi nu il elimina in totalitate. si pentru ca Log4j este o biblioteca de logare atat de utilizata pe scara larga pentru multe servicii, va dura probabil ceva timp pana cand toate dispozitivele si conturile conectate vor fi complet protejate de Log4Shell.

Similar Posts

Lasă un răspuns

Adresa ta de email nu va fi publicată.