一個廣泛使用的軟體程式庫內新發現的漏洞正造成網路大亂,駭客摩拳擦掌想趁機作亂,迫使網路捍衛者倉促行動,急著補破網。
此漏洞來自一個幫助軟體開發者追蹤其應用程式變更的人氣開放原始碼產品,由於這項產品相當受歡迎,許多公司程式都有內嵌,安全主管預期會出現廣泛濫用。
資安公司Tenable執行長、美國電腦緊急應變小組(Computer Emergency Readiness Team)創始董事尤蘭(Amit Yoran)表示:「Apache Log4j遠端程式碼執行(Remote Code Execution execution, RCE)漏洞是過去10年來最大且最嚴重的單一漏洞。
美國政府10日對私人企業警告Log4j漏洞及其可能造成的風險。
國土安全部旗下網路安全和基礎設施安全局(CISA)局長今天在視訊會議表示,這是多年來看過最重大的漏洞之一,敦促各公司讓員工在假日上班,對付那些使用新方法利用這種漏洞的人。
Log4j影響的軟體有許多或許非大眾所熟悉,但在美國資訊科技公司SolarWinds去年深陷俄羅斯間諜活動風暴時,這些主力程式無所不在,讓它們成為數位入侵者理想的出發點。
安全專家表示,Apache 10日雖已釋出修補程式,受影響的公司和網路捍衛者仍需時間找出脆弱的軟體,確實執行修補程式。(中央社)
◤日本旅遊必買清單◢