マイク・ピーターソン
· 1分で読めます
広く使われているJavaライブラリにゼロデイ脆弱性が発見された。
Apple の iCloud、Valve の Steam、Microsoft の Minecraft など、多数のサービスに対して悪用される可能性のある新たな脆弱性が発見されました。
この脆弱性(CVE-2021-44228)は、広く使用されているJavaライブラリApache Log4jに存在します。これは深刻なゼロデイ脆弱性に分類されており、悪用されると、攻撃者がリモートコードを実行し、影響を受けるサーバーを制御できるようになる可能性があります。
プログラミング関連のサブレディットのユーザーによると、多くの企業がこの脆弱性へのパッチ適用に追われているという。AppleInsiderは、この件について発言する権限のない情報筋から得た情報に基づき、業界全体で影響の評価やパッチ適用に向けた取り組みが進められていることを確認した。
エンジニアリングチームが金曜日に脆弱性を修正する必要があると示唆する投稿に対し、あるユーザーは「明日から仕事に行けるの?」とコメントした。「同僚たちは今まさにパッチを当てている。私は待機して、彼らの修正済み作業を確認している」
CERTニュージーランドによると、この脆弱性は既に積極的に悪用されている模様です。サイバーセキュリティ企業LunaSecは、このゼロデイ脆弱性が12月9日にGitHubの概念実証エクスプロイトとともにツイートされたと指摘しています。
LunaSecは、Javaバージョン6u211、7u201、8u191、11.0.1は脆弱性の影響が少ないと指摘しています。しかし、巧妙な攻撃者であれば、より狭い攻撃ベクトルを回避することができる可能性があります。
セキュリティ研究者によると、この脆弱性はAppleのiCloudプラットフォームに影響を与えることが判明しました。少なくとも1人が、この欠陥を悪用できたという証拠を示しました。
発見したセキュリティ研究者は、この脆弱性について Apple の製品セキュリティ チームに警告したと述べています。
この脆弱性がエンドユーザーにどのような影響を与えるかは明らかではありません。しかし、Ars Technicaによると、Minecraftのゲームウェブサイトでは既にプレイヤーに対し、この脆弱性により、ログインに使用されているサーバーを介して攻撃者がユーザーのコンピューターにリモートアクセスできる可能性があると警告しています。
誰が危険にさらされているのか、そしてどのように身を守るのか
この脆弱性は金曜日に大混乱を引き起こしているように見えますが、その影響は主に企業部門で感じられています。つまり、エンドユーザーがこの脆弱性から自らを守る責任はないということです。
プログラミング関連のサブレディットで働くエンジニアらは、アマゾンのような大手テクノロジー企業が木曜の夜遅くから問題の解決に取り組んでいると示唆した。
