Исследователи в сфере информационной безопасности несколько дней назад обнаружили опасную уязвимость Log4Shell, эксплуатация которой позволяет злоумышленникам получить контроль над устройством жертвы. Уязвимость обнаружена в библиотеке Apache Log4j с открытым исходным кодом, которая регистрирует события и ошибки внутри приложений, написанных на Java. Она затронула крупные технологические компании, включая Intel, Microsoft и Nvidia.
Уязвимость получила идентификатор CVE-2021-44228 Национального института стандартов и технологий (NIST). Доступ к уязвимости можно получить через мобильное устройство, API или окно браузера. Атака может привести к утечке данных и другим неприятным последствиям. Теперь стало известно, какие программные продукты Intel, Microsoft и Nvidia затрагивает проблема.
Intel представила список из 32 программных продуктов, подверженных взлому. В основном это комплекты для разработчиков, системы обслуживания серверов и инструменты для Linux. Компания заявила, что уже работает над исправлениями и порекомендовала пользователям регулярно проверять обновления.
NVIDIA заявила, что клиентское программное обеспечение GeForce и GeForce NOW не пострадало, но проблемы могут возникнуть у системных администраторов — с серверами DGX, инструментами NetQ, архитектурой CUDA и виртуальными GPU.
Microsoft выпустила целый ряд обновлений для систем управления базами данных SQL Server, платформы Azure и серверов Minecraft, но отметила, что устаревшие версии Apache Log4j 2 остаются уязвимыми для удаленного выполнения кода.
Apple закрыла критическую уязвимость в облачном хранилище iCloud 14 декабря, но CVE-2021-45046 все еще позволяет эксплуатировать Log4Shell на серверах под управлением MacOS.
AMD по результатам проведенного расследования не обнаружила ни одной платформы, затронутой Log4Shell. Компания заявила, что продолжит анализ, учитывая появление все новых и новых эксплойтов.