網路程式語言Java爆嚴重漏洞 蘋果iCloud、遊戲平台Steam等恐淪攻擊目標

最近網絡程式語言Java被爆出現零星漏洞，超過百萬個程式受影響，有可能成為駭客的主要目標，暴露用家資訊，其中包括蘋果iCloud、遊戲平台Steam以及遊戲Minecraft等程式。

據美媒《The Verge》報導，這次的漏洞名為「Log4Shell」，存在於網路Java中的log4j ，是一種程式內的紀錄工具，方便開發者在系統出問題時進行檢查。而這次存在的漏洞將使駭客能夠進行遠端伺服器攻擊，在用戶的設備商植入惡意軟件，並進行入侵。

資訊安全研究員賀勤茲（Marcus Hutchins）推特發文表示，目前有超過百萬個軟件都在使用Log4j紀錄程式，例如蘋果iCloud、Steam、Twitter、Minecraft等。並指出，「當駭客只要輸入一串特殊指令，就能遠端執行程式代碼，入侵相關程式」。

這個漏洞在電玩遊戲Minecraft伺服器首度被發現，駭客可以通過發布聊天訊息來觸發漏洞。資安分析公司GreyNoise推特發文表示，公司已檢測到許多伺服器正在網上搜索易受此漏洞攻擊的設備。

《The Verge》報導，資安公司Cloudflare技術長葛蘭姆·康明（John Graham-Cumming）表示，Java和日誌框架的Log4j被廣用，這是非常嚴重的漏洞。因有大量Java軟體連線到網路和後台系統。回顧過去10年，只有兩個漏洞比得上這次嚴重。

目前Log4j已推出更新並開始修補漏洞。但為確保各大軟件及平台不會受入侵，Log4Shell 漏洞的更新檔案，應將是未來科技公司更看重的一部分。

10年來最嚴重資安漏洞波及全球！微軟：曾被中國、伊朗駭客利用

一個被全世界廣泛使用的軟體「Log4j」出現重大安全漏洞，資安公司Tenable警告是這十年以來最嚴重的單一漏洞，駭客可能藉此直接進入網頁伺服器存取資料，甚至遠端遙控伺服器。微軟則表示，追蹤到中國、伊朗、北韓、土耳其等國家政府支持的駭客團體，試圖透過這個漏洞發動攻擊。

由於Log4j是一個基於Java程式語言設計的軟體，因此所有以Java為基礎的App和伺服器都有可能因為這個漏洞而遭遇駭客攻擊。目前確認容易被鎖定的公司包括蘋果、亞馬遜、推特、百度、騰訊、特斯拉、IBM等知名企業。

微軟15日在官網發布公告指出，觀察到伊朗駭客團體「PHOSPHORUS」試圖取得並修改Log4j的漏洞，來自中國的駭客團體「HAFNIUM」也試圖利用該漏洞攻擊虛擬基礎設施，來擴大攻擊目標。

美國國土安全部網路安全暨基礎安全局（CISA）警告了該漏洞的嚴重性，並表示全球可能有數億台裝置因此遭受波及。目前Log4j已經發布了更新版本來解決這個問題，CISA呼籲所有機構應儘速安裝。