“十年最严重”漏洞来袭 苹果微软都中招

　　近来，一个编号“CVE-2021-44228”、名为“Log4Shell”的资安漏洞席捲全球，甚至让美国国家安全局、国土安全部，以及中国国家互联网应急中心、德国电信CERT都发出警告，更有资安公司 Tenable 将其评为“近十年最严重的单一漏洞”。

　　据了解，这项漏洞主要的攻击对象，是各方知名网路服务商伺服器的开源日志资料库 Log4j。这项元件可以记录讯息，并广泛内嵌在不同的软体架构，包括苹果的 iCloud、Twitter、微软、Steam、腾讯、百度，甚至美国国安局的逆向分析工具 Ghidra，网路服务平台 CloudFlare，都有使用。

　　统计，共有近 7,000 个应用程式，都存在被攻击的风险，包含知名的游戏《Minecrafe》，加拿大魁北克省，亦曾预防性关闭近 4 千台伺服器，以迴避风险。尽管据传在阿里云安全研究团队揭露这项漏洞后，Apache基金会已开始推送 Log4j 的补丁及更新版，但因各家企业或平台的架构及状况不同，且牵涉的对象太广，普遍的修复预估需花上数月甚至数年，近乎是“无所不在”的零日漏洞。

　　有意攻击者，并可以传输特定的数据到目标伺服器，即可触发漏洞，例如在网路游戏的聊天室中，只要传个讯息，就有能力利用漏洞，远距执行任意代码。亦有研究员发现，一天之内已有近 100 台不同的主机尝试利用这项漏洞，整体风险极高。

　　Apache基金会亦给出一些建议，表示企业应立即将伺服器更新到 Log4j v2.15.0 版，而无法立即升级者，也应将 log4j2.formatMsgNoLookups 参数由“false”改为“true”；微软也已开始针对使用自家云端平台的游戏推送更新，但用户必须先关闭所有的程式，再重新启动 Minecraft Launcher。