先週、オープンソースツール「log4j」のセキュリティホールが数百万のアプリを危険にさらしていることが明らかになった後、Appleは「Log4Shell iCloud」の脆弱性を修正した。

サイバーセキュリティの専門家は、この脆弱性を「インターネットに火をつける」ものであり、「ここ10年で最も重大なセキュリティ脆弱性」であると評した。

背景

Log4jは、ウェブサイトとアプリの両方で広く使用されているオープンソースのログツールです。これに発見されたセキュリティホールは、文字通り数百万ものアプリに悪用される可能性があります。

「Log4Shell」と呼ばれる新たなエクスプロイトが、大手テクノロジー企業のセキュリティチームを悩ませています。この脆弱性を悪用されると、ハッカーは脆弱なサーバー上で悪意のあるコードを実行でき、iCloudやSteamなどのプラットフォームにも影響を及ぼす可能性があると報告されています。

セキュリティ企業 LunaSec が Verge経由で詳細を説明したところによると、この脆弱性は最初に log4j で発見されました。log4j は、複数のアプリやウェブサイトでログ記録に使用されているオープンソース ライブラリです。ログ記録とは、実行されたアクティビティのリストを保存し、後で確認してバグやその他のエラーを修正するプロセスです。

セキュリティ研究者のマーカス・ハッチンズ氏によると、log4j ライブラリは開発者に広く使用されているため、Log4Shell は世界中の何百万ものアプリに影響を及ぼす可能性があるとのことです。

Log4jの広範な使用によってもたらされる危険性に加えて、攻撃者が Log4Shell エクスプロイトを使用するのは非常に簡単です。

この脆弱性を悪用するには、攻撃者はアプリケーションに特定の文字列をログに保存させる必要があります。アプリケーションは、ユーザーが送受信したメッセージやシステムエラーの詳細など、様々なイベントを日常的にログに記録するため、この脆弱性は非常に簡単に悪用され、様々な方法で悪用される可能性があります。

Apple、Log4Shell iCloudの脆弱性を修正

iCloud はこの脆弱性に対して脆弱なサービスの一つであり、Apple、Microsoft などが迅速にパッチを当てたとMacworld は報じている。

Eclectic Light Companyによると、AppleはiCloudの脆弱性を修正したとのことです。同サイトによると、研究者らは12月9日と10日にWeb経由でiCloudに接続した際に脆弱性を実証することができましたが、12月11日には同じ脆弱性は機能しなくなりました。この脆弱性はmacOSには影響していないようです。

この脆弱性は、マイクロソフトが週末にパッチを当てる前にMinecraftで悪用されていました[…]

クラウドストライクのアダム・マイヤーズ氏は、この脆弱性は「完全に武器化」されており、悪用するためのツールは容易に入手できると述べた。「インターネットは今まさに大騒ぎだ」と、この脆弱性が公開された直後に彼は付け加えた。

このプロジェクトを運営するApache Software Foundationは、この脆弱性が容易に悪用され、広く普及していることから、リスクスケールで10と評価しました […] サイバーセキュリティ企業TenableのCEO、アミット・ヨラン氏は、この脆弱性を「過去10年間で最大かつ最も重大な脆弱性」と呼びました。

havebin.com を Google ニュース フィードに追加します。