您现在的位置是:首页 >综合资讯 > 2021-12-16 14:59:16 来源:
Log4Shell可以破解你的iPhone甚至特斯拉
导读 既然Log4Shellcat已经不存在了,研究人员正在试验该漏洞可以在野外使用的所有不同方式。这包括最近的两个示例,展示了如何在iPhone或Tesla
既然Log4Shellcat已经不存在了,研究人员正在试验该漏洞可以在野外使用的所有不同方式。这包括最近的两个示例,展示了如何在iPhone或Tesla汽车上使用Log4j开源Java工具中的漏洞来破坏与端点通信的服务器。
一位荷兰研究人员演示了如何将iPhone的名称更改为字符串会迫使另一端的服务器尝试访问特定的URL。一位不知名的研究人员对一辆特斯拉汽车做了同样的事情,他们将他们的结果发布到匿名的Log4jAttackSurfaceGithub存储库。
从理论上讲,恶意行为者可以在服务器上托管恶意软件,然后通过更改iPhone的名称,可以强制Apple的服务器访问该服务器的URL并下载恶意软件。
不过,这是一个长期目标,因为任何维护良好的网络都能够相对轻松地防止此类攻击。此外,TheVerge进一步解释说,没有迹象表明这种方法会导致这些公司的任何更广泛的妥协。
Log4Shell是最近在Log4jJava工具中发现的漏洞的名称,一些研究人员认为该工具可以处理数百万台设备以进行事件记录。
网络安全和基础设施安全局(CISA)局长JenEasterly将这一缺陷描述为她在整个职业生涯中所见过的“最严重的缺陷之一”,“如果不是最严重的”。
Easterly解释说:“我们预计该漏洞将被老练的参与者广泛利用,我们采取必要措施以减少损害的可能性的时间有限。”
它被跟踪为CVE-2021-44228,并允许恶意行为者运行几乎任何代码。专家警告说,利用该漏洞所需的技能非常低,并敦促大家尽快修补Log4j。
在其软件中使用Log4j的组织应立即将其升级到最新的2.15版本,该版本可从MavenCentral获得。