एडम कोस गत हप्ता यो खुलासा भयो कि खुला स्रोत log4j उपकरणमा सुरक्षा प्वालले विश्वभरका प्रयोगकर्ताहरूले प्रयोग गर्ने लाखौं अनुप्रयोगहरूलाई जोखिममा राखेको छ। साइबर सुरक्षा विज्ञहरूले आफैंले यसलाई पछिल्लो १० वर्षमा सबैभन्दा गम्भीर सुरक्षा जोखिमको रूपमा वर्णन गरेका छन्। र यसले एप्पललाई पनि चिन्तित गर्यो, विशेष गरी यसको iCloud।
Log4j एक खुला स्रोत लगिङ उपकरण हो जुन वेबसाइट र अनुप्रयोगहरू द्वारा व्यापक रूपमा प्रयोग गरिन्छ। खुलासा गरिएको सुरक्षा प्वाललाई शाब्दिक रूपमा लाखौं अनुप्रयोगहरूमा शोषण गर्न सकिन्छ। यसले ह्याकरहरूलाई कमजोर सर्भरहरूमा मालिसियस कोड चलाउन अनुमति दिन्छ र कथित रूपमा iCloud वा Steam जस्ता प्लेटफर्महरूलाई पनि असर गर्न सक्छ। यो, यसबाहेक, एक धेरै सरल फारममा, जसले गर्दा यसलाई यसको आलोचनात्मकताको सन्दर्भमा 10 मध्ये 10 को ग्रेड पनि प्रदान गरिएको थियो।
Log4j को व्यापक प्रयोगबाट उत्पन्न हुने खतराहरूका अतिरिक्त, आक्रमणकारीले Log4Shell शोषण प्रयोग गर्न अत्यन्तै सजिलो छ। उसले भर्खरै अनुप्रयोगलाई लगमा क्यारेक्टरहरूको विशेष स्ट्रिङ बचत गर्नुपर्दछ। किनभने अनुप्रयोगहरूले नियमित रूपमा विभिन्न प्रकारका घटनाहरू लग गर्छन्, जस्तै प्रयोगकर्ताहरूद्वारा पठाइएका र प्राप्त गरिएका सन्देशहरू वा प्रणाली त्रुटिहरूको विवरणहरू, यो कमजोरीलाई शोषण गर्न असामान्य रूपमा सजिलो छ, र धेरै फरक तरिकाहरूमा ट्रिगर गर्न सकिन्छ।
यो हुन सक्छ तपाईंलाई चासो
एप्पलले पहिले नै प्रतिक्रिया दिएको छ
कम्पनीका अनुसार एक्लेक्टिक लाइट कम्पनी एप्पलले पहिले नै iCloud मा यो प्वाल फिक्स गरिसकेको छ। वेबसाइटले यो iCloud कमजोरी डिसेम्बर 10 मा अझै पनि जोखिममा थियो, तर एक दिन पछि यो अब प्रयोग गर्न सकिँदैन भनेर बताउँछ। शोषण आफैंमा कुनै पनि हिसाबले macOS संलग्न भएको देखिँदैन। तर एप्पल मात्र जोखिममा थिएन। सप्ताहन्तमा, उदाहरणका लागि, माइक्रोसफ्टले Minecraft मा आफ्नो प्वाल फिक्स गर्यो।
यदि तपाइँ विकासकर्ता र प्रोग्रामर हुनुहुन्छ भने, तपाइँ पत्रिकाको पृष्ठहरू जाँच गर्न सक्नुहुन्छ नग्न सुरक्षा, जहाँ तपाईंले सम्पूर्ण मुद्दाको बारेमा छलफल गर्ने एकदम विस्तृत लेख पाउनुहुनेछ।
