Apple、iCloudのLog4Shell問題を修正～過去10年で最悪の脆弱性

 
専門家が「過去10年で最悪の脆弱性」と呼ぶ、Apache Log4jライブラリの脆弱性に対してAppleがiCloudにパッチを適用しました。
 
12月11日以降にこの脆弱性を利用した攻撃が通用しなくなったとのことです。

ログ出力ツールに深刻な脆弱性が発覚

この脆弱性はLog4Shell（CVE-2021-44228）と呼ばれているもので、Apache Log4jライブラリが原因となっています。
 
このライブラリには「JNDI（Java Naming and Directory Interface） Lookup」という機能があり、LDAPサーバーなどのディレクトリサービス上からJavaオブジェクトを検索できます。
 
LDAPサーバーはインターネット上のものを利用可能です。
 
問題は、Log4jが単にJavaオブジェクトを検索するだけでなく、classファイル（Javaの実行ファイル）を読み込み、実行できてしまう点にあります。
 
読み込んだclassファイルが悪意のあるものであった場合、深刻な事態を招く可能性があるでしょう。
 
すでにこの脆弱性を利用して暗号資産をマイニングするソフトがインストールされた例が確認されているそうです。

広範囲で使われているLog4j

このLog4jはさまざまなサービスで使われており、そのなかにはAppleのiCloudや、Steam、Twitter、CloudFlare、Amazon、Tesla、Google、LinkedIn、Minecraftといったユーザー数の多いサービスが含まれます。
 
このため、あるサイバーセキュリティ企業の最高経営責任者（CEO）はLog4Shellについて、「過去10年で最大かつ最も深刻な脆弱性」であると考えています。

iCloudは修正済み

Eclectic Light Companyによると、AppleはiCloudのLog4Shell問題を修正済みだとのことです。
 
12月9日と12月10日にiCloudを利用した際はこの脆弱性が存在していることを確認していましたが、12月11日には脆弱性を移用した攻撃が通用しなくなったといいます。
 
iCloudは安全になったものの、まだ問題を修正せずにLog4jを使っている身近なサービスはあると考えられ、しばらくは注意が必要です。

 
 
Source: CVE, The Eclectic Light Company, Bleeping Computer via 9to5Mac
(ハウザー)