Ein neuer Exploit namens „Log4Shell“ bereitet den Sicherheitsteams großer Technologieunternehmen Kopfzerbrechen. Wenn die Schwachstelle ausgenutzt wird, können Hacker bösartigen Code auf anfälligen Servern ausführen. Berichten nach können sie damit Plattformen wie iCloud und Steam angreifen.
Wie das Sicherheitsunternehmen LunaSec (via The Verge) berichtet, wurde die Schwachstelle zuerst in log4j entdeckt, einer Open-Source-Bibliothek, die von vielen Apps und Websites für die Protokollierung verwendet wird. Laut dem Sicherheitsforscher Marcus Hutchins könnte Log4Shell Millionen von Apps auf der ganzen Welt betreffen, da die log4j-Bibliothek von vielen Entwicklern genutzt wird. Um die Sicherheitslücke auszunutzen, müssen Hacker eine spezielle Zeichenkette mit bestimmten Zeichen im Log ablegen.
„Log4Shell“-Exploit: Auch die iCloud ist gefährdet
Um die Sicherheitslücke auszunutzen, muss ein Angreifer die Anwendung dazu bringen, eine spezielle Zeichenkette im Log zu speichern. Da Anwendungen routinemäßig eine Vielzahl von Ereignissen protokollieren – z. B. von Nutzern gesendete und empfangene Nachrichten oder die Details von Systemfehlern – ist die Schwachstelle ungewöhnlich leicht auszunutzen und kann auf verschiedene Weise ausgelöst werden.
Der Log4Shell-Exploit wurde kürzlich auf Minecraft-Servern entdeckt, wo Hacker die Schwachstelle über Chat-Nachrichten ausnutzten. LunaSec behauptet, dass auch Apples iCloud für den neuen Exploit anfällig ist. Angreifer können den bösartigen Code sogar über QR-Codes auslösen, was die Schwachstelle noch gefährlicher macht. Weder Apple noch andere Tech-Unternehmen haben sich diesbezüglich geäußert. Es ist jedoch davon auszugehen, dass aufgrund der Schwere, bereits an einer Lösung gearbeitet wird. (Photo by mkabakov / Bigstockphoto)
