万维读者网 > 信息时代 > 正文  

“十年最严重”漏洞来袭 苹果微软都中招

www.creaders.net | 2021-12-14 21:12:52  自由3C科技 | 0条评论 | 查看/发表评论

  近来,一个编号“CVE-2021-44228”、名为“Log4Shell”的资安漏洞席捲全球,甚至让美国国家安全局、国土安全部,以及中国国家互联网应急中心、德国电信CERT都发出警告,更有资安公司 Tenable 将其评为“近十年最严重的单一漏洞”。

“十年最严重”漏洞来袭  苹果微软都中招

  据了解,这项漏洞主要的攻击对象,是各方知名网路服务商伺服器的开源日志资料库 Log4j。这项元件可以记录讯息,并广泛内嵌在不同的软体架构,包括苹果的 iCloud、Twitter、微软、Steam、腾讯、百度,甚至美国国安局的逆向分析工具 Ghidra,网路服务平台 CloudFlare,都有使用。

  统计,共有近 7,000 个应用程式,都存在被攻击的风险,包含知名的游戏《Minecrafe》,加拿大魁北克省,亦曾预防性关闭近 4 千台伺服器,以迴避风险。尽管据传在阿里云安全研究团队揭露这项漏洞后,Apache基金会已开始推送 Log4j 的补丁及更新版,但因各家企业或平台的架构及状况不同,且牵涉的对象太广,普遍的修复预估需花上数月甚至数年,近乎是“无所不在”的零日漏洞。

  有意攻击者,并可以传输特定的数据到目标伺服器,即可触发漏洞,例如在网路游戏的聊天室中,只要传个讯息,就有能力利用漏洞,远距执行任意代码。亦有研究员发现,一天之内已有近 100 台不同的主机尝试利用这项漏洞,整体风险极高。

  Apache基金会亦给出一些建议,表示企业应立即将伺服器更新到 Log4j v2.15.0 版,而无法立即升级者,也应将 log4j2.formatMsgNoLookups 参数由“false”改为“true”;微软也已开始针对使用自家云端平台的游戏推送更新,但用户必须先关闭所有的程式,再重新启动 Minecraft Launcher。

   0


24小时新闻排行榜 更多>>
1 何时打台湾?传习军委会议说了8个字
2 凄惨!中共最担心的事儿发生了
3 玩弄北京于股掌 习近平首度破天荒教训金正
4 突发!直升机坠毁 国防司令等10名高级军官
5 惊传:中共三中全会要抓正国级政治骗子

48小时新闻排行榜 更多>>
1 余茂春惊人预告 习近平的噩梦要来了
2 突发:全球最大光刻机巨头爆雷 股价跳水
3 何时打台湾?传习军委会议说了8个字
4 凄惨!中共最担心的事儿发生了
5 玩弄北京于股掌 习近平首度破天荒教训金正
6 突发!直升机坠毁 国防司令等10名高级军官
7 火箭军又将大地震?习四个字批示
8 惊传:中共三中全会要抓正国级政治骗子
9 中国力推免签 2024第一季出入境人次破1
10 华尔街大鳄警告 它是一个“巨大的泡沫”
热门专题
1
以哈战争
6
中共两会
11
秦刚失踪
2
中美冷战
7
台湾大选
12
火箭军悬案
3
乌克兰战争
8
李克强猝逝
13
台海风云
4
万维专栏
9
中国爆雷
14
战狼外交
5
美国大选
10
李尚福出事
15
普里戈津
一周博客排行 更多>>
1 习近平一盘神秘大棋成就了大日 文庙
2 周傥:美国迫在眉睫的危险 万维网友来
3 速战速决 伊朗真乃大丈夫也 体育老师
4 达唐:故宫博物院遭公开举报 万维网友来
5 谁是中国人? 谢盛友文集
6 现代战争目的:摧毁战争意志 施化
7 日本电影《追捕》中的杜丘和真 弓长贝占郎
8 辛峰:特鲁多为什么不信加拿大 万维网友来
9 川普就是美国的毛泽东 右撇子
10 美国为何选择这个时候公布中共 山蛟龙
一周博文回复排行榜 更多>>
1 川普就是美国的毛泽东 右撇子
2 警惕有人把民主党与共和党的关 karkar
3 美国为何选择这个时候公布中共 山蛟龙
4 周傥:美国迫在眉睫的危险 万维网友来
5 乌克兰呀,你太让人失望了! 山蛟龙
6 现代战争目的:摧毁战争意志 施化
7 谁敢买中共国的电动车? 山蛟龙
8 习近平一盘神秘大棋成就了大日 文庙
9 海一代选民:多少人视民主党为 随意生活
10 暴力,自由的唯一杀手 施化
关于本站 | 广告服务 | 联系我们 | 招聘信息 | 网站导航 | 隐私保护
Copyright (C) 1998-2024. CyberMedia Network/Creaders.NET. All Rights Reserved.