「近年來最大電腦漏洞」被中國程式設計師發現！

（觀察者網 訊）根據美聯社12月11日報道，中國阿里雲安全團隊在Web伺服器軟體阿帕契（Apache）下的開源日誌元件Log4j內，發現一個漏洞Log4Shell。這個漏洞的存在，可以讓網路攻擊者無需密碼就能存取網路伺服器。

網路安全專家認為，這項漏洞潛在危害極大，甚至可能是「電腦史上最大的漏洞」。包括蘋果、三星以及Steam在內的雲端服務都可能受到影響。阿帕契軟體基金會已將這項漏洞的嚴重性列為最高。

阿里雲團隊12月10日發布的最新預警

事件起始於上月24日，中國阿里雲團隊的一名成員向阿帕奇披露了這個漏洞。隨後，奧地利和紐西蘭官方的電腦緊急小組率先對此漏洞進行了預警。

紐西蘭方面稱，該漏洞正在被“積極利用”，概念驗證程式碼也已被發布。

這次曝光的漏洞，存在於Java日誌框架的Log4j，被廣泛應用於各種應用程式和網路服務，是一種程式內的紀錄工具，保存執行活動的過程，方便在出現問題時進行檢查。幾乎每個網路安全系統都會利用某種日誌框架進行紀錄，這也使得Log4j影響廣泛。

網路安全管理公司Cloudflare首席安全官喬·沙利文（Joe Sullivan）表示，這一漏洞允許惡意攻擊者“遠端執行程式碼”，以獲取對其他系統的訪問，鑑於Log4j軟體被廣泛使用，這可能是迄今為止「最大的漏洞」。

到了本月10日，警報進一步擴大。當天，微軟旗下遊戲《我的世界》（Minecraft）發佈公告稱，遊戲的Java版容易受到攻擊，並建議用戶立即採取措施解決安全問題。玩家可以透過在遊戲聊天框中貼上訊息的方式，在其他玩家的電腦上執行程式。

同一天，沙利文稱公司在「過去6到10小時內」發現，使用此漏洞的惡意用戶激增。

資料安全平台LunaSec的研究人員發現，有證據表明Steam、以及蘋果的雲端服務受到了影響，而帕洛阿爾托網路公司（Palo Alto Network）在一篇部落格文章中指出，推特和亞馬遜也受到了攻擊。

專家們嚴正警告了本次漏洞的潛在危害性。

網路安全公司Crowdstrike高級副主席邁耶斯（Adam Meyers）表示，在美國時間10日早上，駭客已經將漏洞“完全武器化”，還開發出利用該漏洞工具向外分發。他形容稱“互聯網當下正冒火”，不法分子和黑客正爭先恐後地利用這個漏洞，而各大機構網絡安全人員則爭分奪秒地努力修補。

另一家網路安全公司Tenable的首席執行官阿米特·約蘭（Amit Yoran）稱，Log4Shell是“過去十年內最大也是最關鍵的單一漏洞”，甚至可能是“現代電腦歷史上最大的漏洞」。

美聯社則評論稱，這一漏洞可能是近年來發現的最嚴重的電腦漏洞。 Log4j在全行業和政府使用的雲端伺服器和企業軟體中「無所不在」。除非被修復，否則犯罪分子、間諜甚至編程新手，都可以輕易使用這一漏洞進入內部網絡，竊取資訊、植入惡意軟體和刪除關鍵資訊等。

阿帕契軟體基金基金會，已經將此漏洞的嚴重性列為10級中的最高。

國外社群媒體使用者以表情包的形式，說明Log4j的重要性

目前，各大公司已經開始著手修復這個漏洞。根據世界最大網路安全公司麥卡菲（McAfee）的說法， 最重要和最完整的緩解方法，是將log4j更新到穩定版本2.15.0。

未來，麥卡菲也計劃使用額外的服務如（DNS）來測試漏洞的變更。我們可能會根據結果相應地更新本文檔。同時，麥卡菲企業已經為利用NSP（網路安全平台）的客戶發布了一個網路簽章KB95088，該簽章可偵測攻擊者利用漏洞的企圖。

12月10日，阿里雲安全團隊發佈公告稱，發現阿帕奇Log4j 2.15.0-rc1版本存在漏洞繞過，請及時更新至 Apache Log4j 2.15.0 正式版本。