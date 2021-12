Apple a corrigé la vulnérabilité Log4Shell iCloud, après qu’il a été révélé la semaine dernière qu’une faille de sécurité dans l’outil open source log4j mettait en danger des millions d’applications.

Les experts en cybersécurité ont décrit la vulnérabilité comme « enflammer Internet » et « la vulnérabilité de sécurité la plus critique depuis une décennie »…

Log4j est un outil de journalisation open source très largement utilisé par les sites Web et les applications. Une faille de sécurité découverte pourrait être exploitée dans des millions d’applications.

s détaillée par la société de sécurité LunaSec (via le Verge), la vulnérabilité a été trouvée pour la première fois dans log4j, une bibliothèque open source utilisée par plusieurs applications et sites Web pour la journalisation – qui consiste à conserver une liste des activités effectuées afin de les examiner plus tard pour corriger des bogues ou d’autres erreurs.

Un nouvel exploit appelé « Log4Shell » a donné du fil à retordre aux équipes de sécurité des grandes entreprises technologiques. Lorsqu’elle est exploitée, la vulnérabilité permet aux pirates d’exécuter du code malveillant sur des serveurs vulnérables, et cela pourrait affecter des plates-formes telles que iCloud et Steam.

Ajoutant au danger posé par l’utilisation généralisée de Log4j, il est extrêmement facile pour un attaquant d’utiliser l’exploit Log4Shell.

Pour exploiter la vulnérabilité, un attaquant doit obliger l’application à enregistrer une chaîne spéciale de caractères dans le journal. Étant donné que les applications enregistrent régulièrement un large éventail d’événements, tels que les messages envoyés et reçus par les utilisateurs ou les détails des erreurs système, la vulnérabilité est exceptionnellement facile à exploiter et peut être déclenchée de diverses manières.

iCloud était l’un des services vulnérables à l’exploit, et Macworld note qu’Apple, Microsoft et d’autres l’ont rapidement corrigé.

Selon Eclectic Light Company, Apple a corrigé le trou iCloud. Le site rapporte que les chercheurs ont pu démontrer la vulnérabilité lors de la connexion à iCloud via le Web les 9 et 10 décembre, la même vulnérabilité ne fonctionnait plus le 11 décembre. L’exploit ne semble pas avoir affecté macOS.

La vulnérabilité a été exploitée dans Minecraft avant que Microsoft ne la corrige ce week-end […]

Adam Meyers de Crowdstrike a déclaré que la vulnérabilité avait été « entièrement militarisée » et que des outils étaient facilement disponibles pour l’exploiter. « Internet est en feu en ce moment », a-t-il ajouté peu de temps après que l’exploit a été rendu public.

L’Apache Software Foundation, qui gère le projet, lui a attribué une note de 10 sur son échelle de risque en raison de la facilité d’exploitation et de la généralisation de l’outil. […] Le PDG de la société de cybersécurité Tenable Amit Yoran l’a qualifié de « la vulnérabilité la plus importante et la plus critique de la dernière décennie ».