Viele in der Programmiersprache Java geschriebene Anwendungen und Online-Dienste sind wegen einer bis vor Kurzem unbekannten Schwachstelle angreifbar. Zu den bekanntesten betroffenen Diensten gehört das Spiel «Minecraft».
Am 9. Dezember machten Sicherheitsforscher und verschiedene Websites auf eine Zero-Day-Lücke in der Java-Logging-Bibliothek Log4j aufmerksam, schreibt inside-it.ch.
Die mittlerweile mit der Nummer «CVE-2021-44228» versehene Schwachstelle könne dazu führen, dass Angreifer auf betroffenen Computern Schadsoftware ausführen. Dies wird als Remote Code Execution (RCE) bezeichnet und gilt als eine der potenziell verheerendsten Angriffsmöglichkeiten.
IT-Sicherheitsbehörden verschiedener Staaten warnen, dass bereits Angriffe stattgefunden hätten. Offenbar sind Informationen zu der Schwachstelle und ein entsprechendes Angriffswerkzeug (Exploit) im Internet veröffentlicht worden.
Millionen von Anwendungen und Herstellern verwenden log4j für die Protokollierung, dazu gehören:
Eine fortlaufend ergänzte Auflistung gibts bei Github.
Kommt darauf an.
Server-Administratoren (Admins) sind bereits am Schwitzen und versuchen, ihre Systeme abzusichern. Seit Kurzem stehen erste Software-Updates («Patch») bereit.
Internet-Nutzerinnen und -Nutzer sollten besonders vorsichtig sein in nächster Zeit und müssen vor allem darauf zählen, dass die Anbieter den Patch schnell installieren.
❗️ #CERTWarnung ❗️
— CERT-Bund (@certbund) December 10, 2021
Kritische #Schwachstelle (CVE-2021-44228) in der Protokollierungsbibliothek #Log4j für Java-Anwendungen ermöglicht #RCE!#PatchNow Wer nicht sofort patchen kann, sollte dringend die beschriebene Mitigationsmöglichkeit anwenden.https://t.co/zTLfKpLIro
Ein vermutlich aus China stammender Hacker habe den Code zum Ausnutzen der Sicherheitslücke in dem Logging-Werkzeug Log4J veröffentlicht, schreibt golem.de.