或許在最近幾天已經頻繁聽到 Log4Shell 這個漏洞的名字——或者一些更具傳播性的說法,諸如「互聯網正在着火」「過去十年最嚴重的漏洞」「現代計算機歷史上最大漏洞」「難以想到哪家公司不受影響」之類(參見《洛杉磯時報》,12 月 10 日) … 這也就是 Log4Shell 漏洞的核心:它利用 Log4j 這個「日誌記錄員」看似不起眼、實則功能和權限都不少的模塊,通過誘使其對外連接攻擊者控制的服務器,達到收集隱私信息、執行惡意代碼的目的 … 這類網站經常被用來測試注入式漏洞——包括這次的 Log4Shell 漏洞——的效果:如果能成功操作被攻擊主機訪問自己生成的網址、留下訪問記錄,則表明攻擊是有效的。
媒體報道:
21-12-13 少數派: 用一段故事,理解讓大廠紛紛淪陷的 Log4Shell 漏洞
相關事件:
21-12-13 用一段故事,理解讓大廠紛紛淪陷的 Log4Shell 漏洞
21-12-10 Apache Log4j爆高危漏洞,已發現近萬次攻擊
20-04-26 蘋果中國回應iPhone郵箱漏洞:不予置評
20-04-24 蘋果回應iPhone郵件漏洞:不構成直接風險,未發現被利用證據
20-04-22 iPhone郵件應用漏洞或導致5億iPhone易受黑客攻擊
