Java Apache Log4j ライブラリの脆弱性が発見され、Microsoft Minecraft、Valve Steam、Apple iCloud などの人気サービスへの攻撃に利用される可能性があります。
CVE-2021-44228と名付けられたこの脆弱性は、ゼロデイ脆弱性とみなされており、Log4jライブラリに存在します。この脆弱性を悪用することで、攻撃者はサーバーを制御し、リモートからコードを実行できるようになります。
現在、企業はパッチの適用やビジネスへの影響の評価など、この脆弱性に対処する方法を模索しています。
CERTニュージーランドは、この脆弱性が悪用されていると報告しており、GitHubに概念実証が公開されています。他のJavaバージョン(11.0.1、8u191、7u201、6u211)への影響は少ないものの、侵入される可能性も残っています。
AppleはiCloudプラットフォームに存在する脆弱性について警告を受けており、セキュリティ研究者はライブラリへのハッキングに成功したと主張しています。一方、大手テクノロジー企業は現在、この脆弱性を修正する作業を進めています。
