Eine massive Sicherheitslücke in Java betrifft Millionen von Anwendungen – Apple hat Lücke Log4Shell in iCloud schon geflickt

Ende letzter Woche wurde eine kritische Schwachstelle in der Open-Source-Bibliothek Log4j entdeckt, die es Hackern ermöglichen könnte, auf entfernten Servern schadhaften Code auszuführen.
Sicherheitslücke Log4Shell - Hacker vor Computer

Unzählige Anwendungen und Dienste sollen durch die als Log4Shell bekannte Schwachstelle verwundbar sein, darunter iCloud, Minecraft und zahlreiche andere. Apple hat die iCloud-Lücke bereits gepatcht. Forscher haben die Schwachstelle bei der Verbindung zu iCloud über das Web am 9. und 10. Dezember nachweisen können, am 11. Dezember funktionierte die gleiche Schwachstelle nicht mehr. macOS scheint von der Schwachstelle nicht betroffen zu sein.

Lücke bereits ausgenutzt

Die Sicherheitslücke wurde in Minecraft ausgenutzt, bevor Microsoft sie am Wochenende mit einem Patch behoben hat. Nach Angaben von Sicherheitsforschern musste ein Hacker lediglich eine scheinbar harmlose Nachricht in das Chat-Feld einfügen, um die Server von Minecraft zu kompromittieren. Mit ähnlichen Methoden kann jede Anwendung, auf der die kostenlose Software läuft, angegriffen werden.

Es ist unklar, wie viele Anwendungen von dem Fehler betroffen sind, aber die Verwendung von log4j ist extrem weitverbreitet. Adam Meyers von Crowdstrike sagte, dass die Schwachstelle bereits "waffentauglich" sei und dass Tools zur Ausnutzung der Schwachstelle leicht verfügbar seien. "Das Internet steht gerade in Flammen", fügte er kurz nach Bekanntwerden des Exploits hinzu.

Die Apache Software Foundation, die das Projekt betreibt, stufte die Schwachstelle auf ihrer Risikoskala mit 10 ein, weil sie so leicht ausgenutzt werden kann und das Tool so weitverbreitet ist. Die Log4j-Bibliothek wird im gesamten Web für die Protokollierung verwendet, eine gängige Praxis unter Webentwicklern. Apache hat zwar ein Update herausgebracht, aber die Allgegenwart des Java-Tools bedeutet, dass viele Anwendungen immer noch anfällig sind. Amit Yoran, CEO des Cybersicherheitsunternehmens Tenable, bezeichnete dies als "die größte und kritischste Sicherheitslücke des letzten Jahrzehnts".

Doch selbst wenn Sie eine der betroffenen Anwendungen verwenden, ist Ihr Mac nicht gefährdet. Wenn der Fehler ausgenutzt wird, betrifft er den Server, auf dem Log4j läuft, und nicht die Client-Computer, obwohl er theoretisch dazu verwendet werden könnte, eine bösartige Anwendung einzuschleusen, die sich dann auf die angeschlossenen Computer auswirkt. Wenn Sie jedoch Ihren eigenen Server hosten und irgendeine Art von Logging-Methoden auf Ihrem Mac ausführen, sollten Sie das Update ausführen, da Sie möglicherweise gefährdet sind und es nicht wissen.

Quelle: www.macwelt.de