Eine neue Sicherheitslücke wurde in einer ziemlich beliebten Protokollierungsbibliothek entdeckt, die von Apps und Diensten im Internet weit verbreitet ist – der Online-Spieleplattform Steam von Valve und der iCloud-Backup-Plattform von Apple.
Für eine kleine technische Auffrischung hat das Protokollierungssystem einer App oder eines Dienstes nichts mit dem eigentlichen Anmeldevorgang eines persönlichen Kontos zu tun; Stattdessen werden einfach Protokolle aller kürzlich durchgeführten Aktivitäten erstellt und aufbewahrt, auf die zurückgegriffen werden kann, falls die App oder der Dienst abstürzt oder andere Fehler auftreten.
Die fragliche Protokollierungsbibliothek heißt “Apache Log4j” und ist ein Java-basiertes Protokollierungsdienstprogramm, das von der Apache Software Foundation (oder ASF) erstellt wurde.
Die in Log4j entdeckte Schwachstelle, die erstmals auf Minecraft-Hosting-Sites auftrat, ermöglicht es Angreifern im Wesentlichen, Code-Strings direkt in die Bibliothek einzuschleusen. Die Schwachstelle wird als Log4Shell bezeichnet und ist, wie sich herausstellt, überhaupt nicht schwer auszunutzen. Ein Angreifer könnte einfach Chatnachrichten auf einer Site veröffentlichen, um diese auszulösen, und dann beliebigen Code in die Protokollbibliothek einfügen.
Es scheint, dass beide Plattformen weiterhin anfällig für Log4Shell sind, obwohl Log4j seine Bibliothek seitdem mit einem Patch aktualisiert hat, der das Risiko von Exploits anscheinend reduziert, obwohl es es nicht vollständig beseitigt. Und da Log4j für viele Dienste eine so weit verbreitete Protokollierungsbibliothek ist, wird es wahrscheinlich einige Zeit dauern, bis alle verbundenen Geräte und Konten vollständig vor Log4Shell geschützt sind.