Dei ricercatori segnalano un bug “molto, molto spaventoso” che colpisce le principali app

Ricercatori e funzionari della sicurezza, incluso il direttore della sicurezza informatica presso la National Security Agency, stanno lanciando l’allarme su un bug critico che potrebbe consentire agli hacker di prendere il controllo remoto dei dispositivi delle vittime. Il bug deriva da uno strumento di registrazione ampiamente utilizzato chiamato log4j, utilizzato in applicazioni realizzate da alcune delle più grandi aziende tecnologiche del mondo. Il difetto è stato rilevato per la prima volta in Minecraft, che è di proprietà di Microsoft, ma potrebbe estendersi anche ad aziende come Apple, Twitter ed altre, affermano i ricercatori .

“Log4j è un pacchetto di registrazione molto popolare per Java, è molto potente e flessibile, e viene utilizzato in quasi tutte le applicazioni presenti in Java.    Bojan Zdrnja, istruttore senior del SANS Institute ha riferito in una dichiarazione a Vice  che “l’utilizzo è in realtà incredibilmente semplice, il che lo rende molto, molto spaventoso”

Gli strumenti di registrazione memorizzano quasi tutte le attività che si verificano durante l’esecuzione del software, ciò per consentire agli sviluppatori di poter ripristinare il sistema e risolvere gli inevitabili problemi che emergono durante la procedura di sviluppo software. Tuttavia, ciò significa anche memorizzare anche un tesoro di dati critici.

“La vulnerabilità di log4j è una minaccia significativa a causa della diffusa inclusione nei framework software, persino nel GHIDRA dell’NSA”, ha twittato venerdì il direttore della sicurezza informatica dell’NSA Rob Joyce , riferendosi a un progetto software open source dell’NSA.

La società di sicurezza CloudFlare ha stabilito che il bug log4j è “così grave” che il CEO Matthew Prince ha affermato che la società sta implementando le protezioni per tutti gli utenti CloudFlare per impostazione predefinita. “Ma, indipendentemente da ciò che siamo in grado di fare, non saremo in grado di proteggerci completamente da tutte le azioni di #Log4J perché ci sono così tanti modi in cui le cose possono essere registrate”, ha twittato Prince venerdì. 

Leggi anche:   Telegram è stato bandito in Russia