Nový exploit nazvaný „Log4Shell“ trápí bezpečnostní týmy ve velkých technologických společnostech. Když je tato chyba zneužita, umožňuje hackerům spouštět škodlivý kód na zranitelných serverech a údajně může ovlivnit platformy jako iCloud a Steam.



Jak podrobně uvedla bezpečnostní společnost LunaSec (přes Verge), zranitelnost byla poprvé nalezena v log4j, open-source knihovně používané více aplikacemi a webovými stránkami pro protokolování – což je proces vedení seznamu provedených činností za účelem jejich kontroly. Podle bezpečnostního výzkumníka Marcuse Hutchinse by Log4Shell mohl ovlivnit miliony aplikací po celém světě, protože knihovna log4j je široce používána vývojáři. Aby mohli hackeři tuto chybu zabezpečení zneužít, musí přimět aplikaci, aby do protokolu uložila speciální řetězec znaků.

Vzhledem k tomu, že aplikace rutinně zaznamenávají širokou škálu událostí – jako jsou zprávy odeslané a přijaté uživateli nebo podrobnosti o systémových chybách – lze tuto chybu zabezpečení neobvykle snadno zneužít a lze ji spustit různými způsoby. Exploit Log4Shell byl nedávno viděn na serverech Minecraft, kde hackeři využili zranitelnost prostřednictvím chatových zpráv. LunaSec tvrdí, že iCloud společnosti Apple je také zranitelný vůči novému exploitu. Útočníci mohou dokonce spustit škodlivý kód prostřednictvím QR kódů, což činí tento exploit ještě nebezpečnějším.