Uma nova falha de segurança foi descoberta em uma biblioteca de registro bastante popular, que é amplamente usada por aplicativos e serviços na Internet – a plataforma de jogos online Steam by Valve e a plataforma de backup iCloud da Apple.
Para uma atualização tecnológica, o sistema de registro de um aplicativo ou serviço não tem nada a ver com o processo de login real de uma conta pessoal; em vez disso, ele simplesmente cria e mantém registros de todas as atividades realizadas recentemente, que podem ser consultadas caso o aplicativo ou serviço falhe ou experimente qualquer outro tipo de erro.
A biblioteca de registro em questão é chamada de “Apache Log4j” e é um utilitário de registro baseado em Java criado pela Apache Software Foundation (ou ASF).
A vulnerabilidade descoberta no Log4j, que primeiro se tornou aparente nos sites de hospedagem do Minecraft, essencialmente permite que os invasores injetem sequências de código diretamente na biblioteca. A vulnerabilidade foi apelidada de Log4Shell e, ao que parece, não é difícil de explorar. Um invasor pode simplesmente publicar mensagens de bate-papo em um site para acioná-lo e, em seguida, colocar o código que quiser na biblioteca de registro.
Parece que ambas as plataformas permanecem vulneráveis ao Log4Shell, embora Log4j tenha atualizado sua biblioteca com um patch que aparentemente reduz o risco de exploits, embora não o elimine totalmente. E como Log4j é uma biblioteca de registro amplamente usada para muitos serviços, provavelmente levará algum tempo até que todos os dispositivos e contas conectados estejam completamente protegidos do Log4Shell.
Uma nova falha de segurança foi descoberta em uma biblioteca de registro bastante popular, que é amplamente usada por aplicativos e serviços na Internet – a plataforma de jogos online Steam by Valve e a plataforma de backup iCloud da Apple.
Para uma atualização tecnológica, o sistema de registro de um aplicativo ou serviço não tem nada a ver com o processo de login real de uma conta pessoal; em vez disso, ele simplesmente cria e mantém registros de todas as atividades realizadas recentemente, que podem ser consultadas caso o aplicativo ou serviço falhe ou experimente qualquer outro tipo de erro.
A biblioteca de registro em questão é chamada de “Apache Log4j” e é um utilitário de registro baseado em Java criado pela Apache Software Foundation (ou ASF).
A vulnerabilidade descoberta no Log4j, que primeiro se tornou aparente nos sites de hospedagem do Minecraft, essencialmente permite que os invasores injetem sequências de código diretamente na biblioteca. A vulnerabilidade foi apelidada de Log4Shell e, ao que parece, não é difícil de explorar. Um invasor pode simplesmente publicar mensagens de bate-papo em um site para acioná-lo e, em seguida, colocar o código que quiser na biblioteca de registro.
Parece que ambas as plataformas permanecem vulneráveis ao Log4Shell, embora Log4j tenha atualizado sua biblioteca com um patch que aparentemente reduz o risco de exploits, embora não o elimine totalmente. E como Log4j é uma biblioteca de registro amplamente usada para muitos serviços, provavelmente levará algum tempo até que todos os dispositivos e contas conectados estejam completamente protegidos do Log4Shell.
