一朝被 Log4j 坑，十年怕開源：蘋果等科技企業(yè)將舉行會談討論相關(guān)安全風(fēng)險問題

IT之家 1 月 13 日消息，據(jù)路透社報道，在 2021 年美國遭受數(shù)次重大網(wǎng)絡(luò)攻擊后，蘋果、谷歌、亞馬遜、Meta 和 IBM 將出席白宮會議，一同討論開源軟件的安全問題。除了大型科技公司外，包括美國國土安全部、國防部和商務(wù)部在內(nèi)的政府機構(gòu)也將出席。

據(jù)介紹，此次會議將由美國國家安全顧問杰克沙利文主持，并將重點討論“對開源軟件安全的擔(dān)憂以及如何改進(jìn)它”。此次會議根本在于對開源軟件 Log4j 中發(fā)現(xiàn)的安全漏洞的擔(dān)憂。IT之家了解到，該漏洞對全球使用 Log4j 的組織構(gòu)成威脅，允許黑客控制系統(tǒng)并遠(yuǎn)程執(zhí)行惡意代碼。

該漏洞于去年 12 月被發(fā)現(xiàn)，在蘋果受影響的項目中，這個漏洞導(dǎo)致了一個 iCloud 漏洞。

據(jù) Eclectic Light 公司稱，蘋果已經(jīng)修補了 iCloud 漏洞。該網(wǎng)站報告稱，研究人員在 12 月 9 日和 12 月 10 日通過網(wǎng)絡(luò)連接到 iCloud 時能夠證明該漏洞，但同一漏洞在 12 月 11 日不再起作用。該漏洞似乎沒有影響 macOS。

在微軟修補它之前，該漏洞已在 Minecraft 中被利用。

Crowdstrike 的 Adam Meyers 表示，該漏洞已被“完全武器化”，并且可以隨時使用工具來利用它。“互聯(lián)網(wǎng)現(xiàn)在相當(dāng)于后院起火了，”他在漏洞被公開后不久補充道。

根據(jù) Sullivan 的說法，Log4j 等開源軟件存在“關(guān)鍵的國家安全問題”，因為它經(jīng)常由志愿者使用和維護(hù)。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。