Log4Shell: falha no registro de código deixa milhões de dispositivos vulneráveis a ataques
Serviços como iCloud da Apple, Steam e aplicativos do Twitter e Minecraft são afetados; Log4j já emitiu uma correção para vulnerabilidade Log4ShellBy - Liliane Nakagawa, 13 dezembro 2021 às 13:14
Serviços populares de nuvem como iCloud e Steam, bem como aplicativos da Amazon, Twitter e Minecraft entre outros que mantêm um registro dos eventos quando esses estão funcionando, guardam uma séria vulnerabilidade no Log4j, uma biblioteca de registro de código aberto, popular e amplamente utilizada.
Trata-se da vulnerabilidade Log4Shell, relatada pela primeira vez no site Minecraft, que permite ao atacante executar um código malicioso no jogo, de acordo com a Ars Technica.
Com a vulnerabilidade descoberta, atacantes poderiam usá-la para executar códigos remotamente em servidores, direcionando-os para baixar e executar malware, o que comprometeria os dados de pessoas e empresas.
Para o pesquisador de segurança Marcus Hutchins, que ajudou a impedir a disseminação do malware WannaCry, a vulnerabilidade é “extremamente ruim” devido à grande quantidade de aplicativos que usam o Log4j para logar.
Já um post no blog da empresa de segurança de aplicativos LunaSec diz que “acionar a vulnerabilidade nos servidores da Apple é tão fácil quanto mudar o nome de um iPhone”. No caso do jogo Minecraft, o código malicioso poderia ser executado remotamente simplesmente enviando mensagens.
A Log4j já emitiu uma correção para o Log4Shell, e serviços afetados como Minecraft e Cloudflare já implementaram atualizações.
Via Engadget
Comentários