Java現近十年最嚴重漏洞 專家:威脅全球
網絡保安專家在一個極常用的電腦軟件工具發現嚴重保安漏洞Log4Shell,警告正威脅全球網絡用戶。若然雲端伺服器、企業軟件、受歡迎微軟公司網上遊戲Minecraft等採用Java記錄軟件的系統來不及補丁,不法分子一旦找到它,即使是編寫程式初哥,都能賴以輕易入侵內聯網絡系統,竊取有用數據、植入惡意程式和刪除關鍵資料等,被形容為近10年發現的最嚴重安全漏洞。
網絡保安公司Tenable總裁約倫(Amit Yoran)形容,Log4Shell為「過去10年單一最大、最嚴重的漏洞」,從事軟件研發的Apache軟件基金(Apache Software Foundation)將其危險性列為10級中的最高。專家指出,Log4Shell存在於使用廣泛的Java記錄軟件log4j,銜接着互聯網和後端(back-end)系統,幾乎沒有一家公司沒有風險。任何能找到漏洞的人,皆能毋須密碼就可以登入網頁伺服器存取資料,甚至遙控伺服器。該漏洞雖始見於網上遊戲Minecraft,但專家稱雲端應用程式、企業應用程式等同存風險。有研究人員稱,證據顯示蘋果、亞馬遜和Twitter等公司的伺服器都存在該漏洞。
網絡保安公司Crowdstrike高級副主席邁耶斯(Adam Meyers)表示,在該漏洞發現才12個小時,迄美國時間上周五(10日)早上,黑客已使之「完全武器化」,還開發出利用該漏洞工具向外分發。他形容「互聯網當下正冒火」,不法分子和黑客正爭先恐後地利用這個漏洞,而各大機構網絡安全人員則爭分奪秒地努力修補。(衛報/The Verge)