本網站使用相關技術提供更好的閱讀體驗,同時尊重使用者隱私,點這裡瞭解中央社隱私聲明當您關閉此視窗,代表您同意上述規範。
Your browser does not appear to support Traditional Chinese. Would you like to go to CNA’s English website, “Focus Taiwan”?
こちらのページは繁体字版です。日本語版「フォーカス台湾」に移動しますか。
中央社一手新聞APP Icon中央社一手新聞APP
下載

Apache Log4j爆嚴重漏洞 Steam、iCloud等恐淪駭客攻擊目標

2021/12/11 16:25(12/12 14:41 更新)
請同意我們的隱私權規範,才能啟用聽新聞的功能。
請同意我們的隱私權規範,才能啟用聽新聞的功能。

(中央社舊金山11日綜合外電報導)眾多公司的安全團隊都在緊急修補一個先前未知、名為Log4Shell的漏洞,這可能讓駭客透過網路侵入數以百萬款程式,蘋果 iCloud、遊戲平台Steam等都可能淪為駭客攻擊目標。

這項漏洞如果被利用,能利用遠端執行程式碼攻擊脆弱的伺服器,進一步讓駭客植入足以完全危害設備的惡意軟體。

科技新聞網站The Verge報導,這次曝光的漏洞存在於Java日誌框架的Log4j,被廣泛應用於各種應用程式和網路服務,是一種程式內的紀錄工具,保存執行活動的過程,方便在出現問題時進行檢查。幾乎每個網絡安全系統都會利用某種日誌框架進行紀錄,使得Log4j這類受歡迎的日誌框架影響廣泛。

著名資安研究員賀勤茲(Marcus Hutchins)在推特發文表示,有數以百萬款軟體都會受影響,「數以百萬款程式都使用Log4j記錄程式活動,駭客只需要讓應用程式接收一串特殊指令」。

這個漏洞首先在電玩遊戲Minecraft伺服器被發現,他們發現駭客可以通過發布聊天訊息來觸發漏洞。資安分析公司GreyNoise發布推文表示,公司已經檢測到許多伺服器正在網上搜索易受此漏洞攻擊的設備。

應用資安公司LunaSec發文稱,遊戲平台Steam和蘋果(Apple)的iCloud已經被發現存在漏洞。Valve和蘋果都沒有立即回應置評請求。

資安公司Cloudflare技術長葛蘭姆-康明(John Graham-Cumming)告訴The Verge,由於Java和日誌框架的Log4j廣受利用,這是非常嚴重的漏洞。因為有大量Java軟體連線到網路和後台系統。回顧過去10年,只有兩個漏洞的嚴重程度比得上這次。

目前Log4j已經釋出更新,開始修補漏洞,但直到所有漏洞更新之前,Log4Shell依舊是一大威脅。(譯者:戴雅真/核稿:陳昱婷)1101211

中央社「一手新聞」 app
iOS App下載Android App下載

本網站之文字、圖片及影音,非經授權,不得轉載、公開播送或公開傳輸及利用。

106