Log4Shell: l'update risolutivo presenta altre due vulnerabilità gravi
Quella di Log4Shell è una delle vulnerabilità più gravi in circolazione dall'esistenza di internet, e sono in molti a domandarsi quando troverà una risoluzione e quanti danni riuscirà a causare. Le preoccupazioni sono montate in particolare dopo che Log4Shell è diventato veicolo di ransomware, con gravi rischi per gli utenti comuni.
La falla, scoperta nel programma di logging Log4j meno di una settimana fa a partire dai server di Minecraft, si è presto rivelata essere diffusa praticamente ovunque sul web, rendendo così vulnerabili ad attacchi hacker i server di grandi aziende informatiche come Microsoft, Apple e persino Amazon, oltre a tutti gli utenti e le imprese che li utilizzano.
Poche ore fa, però, gli sviluppatori di Apache hanno creato e rilasciato un fix per Log4j, rendendolo disponibile in open-source e invitando tutti coloro che hanno riscontrato la vulnerabilità Log4Shell a installarlo. In particolare, il fix è stato rilasciato con la patch che aggiorna Log4j alla versione 2.15.0: molti esperti di informatica, soprattutto a livello aziendale, hanno effettuato l'upgrade il prima possibile, sperando che risolvesse la falla.
Ebbene, benché la versione 2.15.0 sembri essere immune alla vulnerabilità di Log4Shell, essa contiene altre due falle che potrebbero avere gli stessi effetti catastrofici della precedente. Alcuni hacker si sarebbero accorti delle due nuove vulnerabilità a tempo record, ed avrebbero già iniziato ad usarle per i propri attacchi.
Apache ha dunque rilasciato Log4j 2.16.0, che dovrebbe risolvere anche queste due nuove vulnerabilità, chiedendo a tutti i propri utenti di installarlo il più rapidamente possibile. Secondo quanto riportato da alcuni ricercatori, la versione 2.15.0 di Log4j era "incompleta in alcune configurazioni non di default", perciò si è reso necessario un aggiornamento dell'ultimo minuto.
In particolare, il ricercatore di Praetorian Nathan Sportsman ha dichiarato che "Con le nostre ricerche, abbiamo dimostrato che la versione 2.15.0 di Log4j permette comunque di trafugare dati sensibili in certe condizioni. Abbiamo già passato tutte le informazioni ad Apache, ma consigliamo comunque a tutti di aggiornare Log4j alla versione 2.16.0". Secondo quanto riportato da Praetorian, la falla permetteva sia attacchi DoS che il furto di dati sensibili, anche se non è chiaro per quale fine sia stata utilizzata dagli hacker.
FONTE: Ars Technica
Rimani aggiornato seguendoci su Google News!
Unisciti all'orda: la chat telegramper parlare di videogiochi
Altri contenuti per Sicurezza informatica
- Queste app per Android contengono un pericoloso virus: disinstallatele subito!
- Torna la truffa degli annunci di lavoro falsi: come riconoscerli e difendersi
- Disinstallate subito queste 3 app Android malevole che mirano al conto in banca
- Torna la truffa del pacco e c'è addirittura una "guida": come riconoscerla
- Fate attenzione alla truffa dei buoni Amazon: come riconoscerla
Sicurezza informatica
Contenuti più Letti
- I tre smartphone Xiaomi migliori per fare foto sensazionali: ecco perché
- 1 commentiCome faccio a sapere se nella mia zona c'è la fibra? Le nuove mappe per FTTH ed FWA
- Follia Samsung Galaxy S24 Ultra: coupon Amazon ABBATTE IL PREZZO
- 1 commentiCosa cambia tra Kindle e Kobo? Tutte le principali differenze
- 2 commentiBoston Dynamics sorprende tutti: il nuovo robot Atlas si alza da solo!
- Qual è la città al mondo dove si consuma più vino? Si trova in Italia
- Bimba e padre scoprono il fossile dell'ittiosauro più grande della storia: è record
- Questo frutto sta per diventare un nuovo 'super-cibo'? Vediamo perché
- 1 commentiMolti husky vengono abbandonati per questa tristissima ragione
- Ecco perché la più grande mappa dell'Universo spaventa gli scienziati