Apple ha corretto la vulnerabilità Log4Shell su iCloud, una falla che ha messo a rischio milioni di app.
Gli esperti di sicurezza informatica hanno descritto la vulnerabilità come “l’incendio di Internet” e “la vulnerabilità di sicurezza più critica in un decennio“.
Log4j è infatti uno strumento di registrazione open source molto utilizzato sia da siti Web che da app. Una falla di sicurezza su questo strumento potrebbe essere sfruttata letteralmente in milioni di app.
Un nuovo exploit chiamato “Log4Shell” ha creato grattacapi ai team di sicurezza delle grandi aziende tecnologiche. Se sfruttata, la vulnerabilità consente agli hacker di eseguire codice dannoso su server vulnerabili e, secondo quanto riferito, può colpire piattaforme come iCloud e Steam.
Come spiegato dalla società di sicurezza LunaSec, la vulnerabilità è stata trovata per la prima volta in log4j, una libreria open source utilizzata da più app e siti Web per la registrazione, che rappresenta il processo di conservazione di un elenco delle attività eseguite al fine di rivederle in seguito per correggere bug o altri errori.
Secondo il ricercatore di sicurezza Marcus Hutchins, Log4Shell potrebbe interessare milioni di app in tutto il mondo poiché la libreria log4j è ampiamente utilizzata dagli sviluppatori. Oltre al pericolo rappresentato dall’uso diffuso di Log4j, è estremamente facile per un utente malintenzionato utilizzare l’exploit Log4Shell.
Per sfruttare la vulnerabilità, un utente malintenzionato deve far sì che l’applicazione salvi una stringa speciale di caratteri nel registro. Poiché le applicazioni registrano regolarmente un’ampia gamma di eventi, come i messaggi inviati e ricevuti dagli utenti o i dettagli degli errori di sistema, la vulnerabilità è insolitamente facile da sfruttare e può essere attivata in vari modi.
iCloud era uno dei servizi vulnerabili all’exploit, ma Apple è stata molto rapida nel correggerlo. Secondo l’Eclectic Light Company, Apple ha infatti riparato la falla di iCloud. Il sito riporta che i ricercatori sono stati in grado di dimostrare la vulnerabilità durante una connessione a iCloud Web il 9 dicembre e il 10 dicembre, ma la stessa vulnerabilità non ha più funzionato l’11 dicembre. L’exploit non sembra aver interessato macOS.