- Tham gia
- 1/1/15
- Bài viết
- 1,711
- Được thích
- 1,743
1166
#1
Gần đây, The Eclectic Light Company ghi nhận rằng Apple đã âm thầm khắc phục lỗ hổng bảo mật nghiêm trọng Log4Shell trên iCloud.
1. Lỗ hổng Log4Shell
Trong tuần trước, lỗ hổng bảo mật Log4Shell được tìm thấy trong mã nguồn mở logging log4j (do Apache phát hành). Các chuyên gia nhận định rằng đây là một lỗ hổng nghiêm trọng và những nạn nhân được xác định là Minecraft, Steam và iCloud. Xem thêm chi tiết:
2. Apple đã khắc phục Log4Shell trên iCloud
Theo ghi nhận của The Eclectic Light Company - một blog khá có tiếng trong giới công nghệ, lỗ hổng này đã được Apple vá trong ngày 11/12 vừa qua, khi blogger này vẫn có thể khai thác từ Log4Shell trong hai ngày 9/11 và 10/11 nhưng không thể làm được như vậy nữa trong ngày 11/11. Đến thời điểm hiện nay, Apple vẫn chưa có thông cáo chính thức nào.
3. Cách khắc phục lỗ hổng Log4Shell cho doanh nghiệp
Bên cạnh ba 'nạn nhân' tai to mặt lớn nói trên, lỗ hổng này còn ảnh hưởng đến hàng triệu dịch vụ khác trên toàn cầu. Theo lời khuyên của chuyên gia an ninh mạng Ngô Minh Hiếu (Hiếu PC) đến từ Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), nâng cấp Log4j lên phiên bản 2.15.0 hoặc áp dụng các biện pháp bảo mật tăng cường là điều cần thiết trong lúc này.
Trong các bản phát hành trước (> = 2.10), hành vi tấn công này có thể được giảm thiểu bằng cách đặt thuộc tính hệ thống “log4j2.formatMsgNoLookups” thành “true” hoặc bằng cách xóa lớp JndiLookup khỏi classpath (ví dụ: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class). Java 8u121 (xem https://www.oracle.com/java/technologies/javase/8u121-relnotes.html) bảo vệ chống lại RCE bằng cách đặt mặc định “com.sun.jndi.rmi.object.trustURLCodebase” và “com.sun.jndi.cosnaming.object.trustURLCodebase” thành “false”.
Xem thêm:
Eugene | Techrum.vn
Via 9to5mac
Via 9to5mac