Apple hat die „Log4Shell“ iCloud-Schwachstelle gepatcht, nachdem letzte Woche bekannt wurde, dass eine gefährliche Sicherheitslücke in dem Open-Source-Tool log4j Millionen von Apps gefährdet.
Cybersecurity-Experten bezeichneten die Sicherheitslücke als „die kritischste Sicherheitslücke seit einem Jahrzehnt“. Zur Erinnerung: Log4j ist ein Open-Source-Logging-Tool, das sowohl von Websites als auch von Apps sehr häufig genutzt wird. Eine darin entdeckte Sicherheitslücke könnte in buchstäblich Millionen von Anwendungen ausgenutzt werden.
Ein neuer Exploit namens „Log4Shell“ bereitet den Sicherheitsteams großer Technologieunternehmen Kopfzerbrechen. Wenn die Schwachstelle ausgenutzt wird, können Hacker bösartigen Code auf anfälligen Servern ausführen. Dabei sind auch Dienste wie Apples iCloud betroffen.
Die weit verbreitete Verwendung von Log4j macht es für Angreifer besonders einfach, den Log4Shell-Exploit zu nutzen.
Um die Schwachstelle auszunutzen, muss ein Angreifer die Anwendung dazu bringen, eine spezielle Zeichenkette im Log zu speichern. Da Anwendungen routinemäßig eine Vielzahl von Ereignissen protokollieren – z. B. von Nutzern gesendete und empfangene Nachrichten oder die Details von Systemfehlern – ist die Schwachstelle ungewöhnlich leicht auszunutzen und kann auf verschiedene Arten ausgelöst werden.
„Log4Shell“: Apple schließt iCloud-Sicherheitslücke
Apples iCloud war einer der Dienste, die für die Schwachstelle anfällig waren. Nun berichtet Macworld, dass Apple, Microsoft und andere Diensteanbieter schnell gehandelt haben.
Wie die Eclectic Light Company berichtet, hat Apple die iCloud-Lücke gepatcht. Die Website berichtet, dass Forscher die Schwachstelle nachweisen konnten, wenn sie sich am 09. und 10. Dezember über das Web mit iCloud verbunden haben. Am 11. Dezember funktionierte die gleiche Schwachstelle nicht mehr. macOS scheint von der Schwachstelle nicht betroffen zu sein. Die Sicherheitslücke wurde in Minecraft ausgenutzt, bevor Microsoft sie am Wochenende gepatcht hat.
Adam Meyers von Crowdstrike sagte, dass die Schwachstelle „voll waffentauglich“ gemacht wurde und dass Tools zum Ausnutzen der Schwachstelle leicht verfügbar waren. Dabei fügte er hinzu:
Das Internet steht gerade in Flammen.
Die Apache Software Foundation, die das Projekt betreibt, stufte die Schwachstelle auf ihrer Risikoskala mit 10 ein, da sie so leicht ausgenutzt werden kann und das Tool so weit verbreitet ist. Wie auch immer. Apache hat mittlerweile Version 2.16.0 von Log4j veröffentlicht. Das heißt, die Schwachstelle soll nun vollständig behoben worden sein. Angesichts der Vielzahl der Webseiten und Dienste, die die Bibliothek einsetzen, kann es jedoch etwas dauern, bis die Sicherheitslücke weltweit geschlossen ist. Nichtsdestotrotz, die iCloud ist zumindest wieder sicher. (Photo by JuanRoballo / Bigstockphoto)
