EXPLORE
EXPLORE

Minecraftで実証された重要なApacheLog4jエクスプロイト

先週末はサーバー管理者になるのに悪い時期でした。 ApacheLog4jに重大な脆弱性が発生しました。 大きな問題? 攻撃者は、TwitterからiCloudまで、あらゆる種類のアプリケーションが攻撃者が選択したコードを実行するために使用するオープンソースのJavaパッケージを悪用する機会があります。

それはそれが聞こえるのと同じくらい怖いです。

ApacheLog4jエクスプロイトがあなたと私にとって何を意味するか

私は、HuntressLabsのサイバーセキュリティ研究者であるJohnHammondに、被害を軽減するためのエクスプロイトとその後のスクランブルについて話しました。 ハモンドは自分のYouTubeチャンネル用にMinecraftサーバーでエクスプロイトを再現しましたが、その結果は爆発的なものでした。

Q:このエクスプロイトとは何ですか? 素人の言葉で何が起こっているのか説明できますか?

A:このエクスプロイトにより、悪意のある攻撃者はXNUMX行のテキストでコンピューターを制御できるようになります。 素人の言葉で言えば、ログファイルは新しいエントリを取得していますが、ログファイル内のデータを読み取って実際に実行しています。 特別に細工された入力により、被害者のコンピューターは別の悪意のあるデバイスに連絡して接続し、攻撃者が準備した不正なアクションをダウンロードして実行します。

今人気
2021年XNUMX月のベストデスクトップディール

Q:Minecraftでこのエクスプロイトを複製するのはどれほど大変でしたか?

A:この脆弱性とエクスプロイトの設定は簡単であり、悪意のある人物にとって非常に魅力的なオプションになります。 私は展示しました これがMinecraftでどのように再現されたかを示すビデオウォークスルー、そして「攻撃者の視点」は、彼らが何をしているのか、何が必要なのかを知っている場合、セットアップにおそらく10分かかります。

Q:これは誰の影響を受けますか?

A:最終的には、誰もが何らかの形でこれに影響を受けます。 この脆弱性がどこかに隠れているソフトウェアやテクノロジーをすべての人が操作する可能性は非常に高く、ほぼ確実です。 

Amazon、Tesla、Steam、さらにはTwitterやLinkedInなどに脆弱性の証拠が見られます。 残念ながら、この脆弱性の影響は非常に長い間見られますが、一部のレガシーソフトウェアは最近維持されていないか、更新をプッシュしている可能性があります。

Q:影響を受ける当事者は、システムを安全に保つために何をする必要がありますか?

A:正直なところ、個人は使用するソフトウェアとアプリケーションを常に認識し、「[that-software-name] log4j」をGoogleで検索して、そのベンダーまたはプロバイダーがこの新しい通知に関するアドバイスを共有しているかどうかを確認する必要があります。脅威。 

この脆弱性は、インターネットとセキュリティの全体像を揺るがしています。 人々は、プロバイダーから最新のセキュリティ更新プログラムを入手可能になるとすぐにダウンロードし、更新をまだ待っているアプリケーションに注意を払う必要があります。 そしてもちろん、セキュリティは忘れられない基本的な基本事項に要約されます。堅固なウイルス対策を実行し、長くて複雑なパスワードを使用し(デジタルパスワードマネージャーを強くお勧めします)、特にあなたのコンピュータのあなたの前。

今人気
MarklifeP11レビュー| PCMag

編集者からの推薦

あなたが読んでいるもののように? あなたはそれが毎週あなたの受信箱に届けられるのを気に入るはずです。 SecurityWatchニュースレターにサインアップしてください。

古い映画の犯罪者は、法の正しい面と悪い面の両方を常に知っていました。 警察官がドアを破裂させると脅した場合、彼らはただにやにや笑ってこう言います。 令状を持って戻ってきてください。」

今日の現実では、警察はデータブローカーから情報を購入できれば、わざわざデータの令状を取得する必要はありません。 今、私たちは法律違反をロマンチックにする人ではありませんが、権力の乱用の可能性も好きではありません。

PCMagのRobPegoraroが書いているように、データブローカーは、民間人について収集された情報の販売を許可することにより、法執行機関と諜報機関に第XNUMX修正を回避する方法を提供します。 FBIは、一例として「事前調査活動」についてデータブローカーと契約を結びました。

複雑なアプリのプライバシーポリシーとデータブローカーの利用規約のおかげで、平均的なアメリカ市民はおそらく自分の電話の位置データが法執行機関のデータベースにどのように入るのかを知らないでしょう。 気になりますか? もしそうなら、それはあなた自身の手に問題を取り、ソースでのデータ収集を停止する時が来ました。 AppleとGoogleが提供するロケーションプライバシー機能を使用して、ロケーションをあなたから秘密にします apps。 iOSを使用すると、ユーザーはアプリに自分の場所がわからないようにすることができ、GoogleのAndroid12にも同様のコントロールが追加されています。

今週、セキュリティの世界で他に何が起こっているのでしょうか?

あなたが読んでいるもののように?

サインアップする セキュリティウォッチ プライバシーとセキュリティに関するトップニュースのニュースレターが受信トレイに直接配信されます。

今人気
初心者のための最高の一眼レフとミラーレスカメラ

このニュースレターには、広告、取引、またはアフィリエイトリンクが含まれている場合があります。 ニュースレターを購読すると、 利用規約 & 個人情報保護方針。 ニュースレターの購読はいつでも解除できます。



ソース

今人気
Wyzeスイッチレビュー| PCMag

Keep Calm and Stay Smart

22:20

私たちのチームは、独自のコンサルタントとビジネスリーダーのパネルを通じて、毎年何百ものソフトウェア、サービス、およびビジネス戦略を専門的にテストしています。

私たちは、使いやすく、あらゆるタイプの組織に適切に統合され、ビジネスセクターのトップを維持するための主要な機能を備えた、費用便益比が最も高いソリューションのみを厳密に選択します。

en English
ar Arabicbe Belarusianbn Bengalibs Bosnianbg Bulgarianzh-CN Chinese (Simplified)hr Croatiancs Czechda Danishnl Dutchen Englishet Estoniantl Filipinofi Finnishfr Frenchka Georgiande Germanel Greekgu Gujaratiha Hausaiw Hebrewhi Hindihmn Hmonghu Hungarianig Igboid Indonesianit Italianja Japanesejw Javanesekk Kazakhko Koreanku Kurdish (Kurmanji)ky Kyrgyzlo Laolv Latvianlt Lithuanianmk Macedonianmg Malagasyno Norwegianfa Persianpl Polishpt Portuguesepa Punjabiro Romanianru Russiansr Serbiansk Slovaksl Slovenianes Spanishsv Swedishth Thaitr Turkishuk Ukrainianvi Vietnameseyo Yoruba

2024年に必須のソフトウェア

トップカテゴリー

最新のレビュー