فهرست بستن

اکسپلویت بحرانی Apache Log4j2 در Minecraft نشان داده شده است

vpn
اکسپلویت بحرانی Apache Log4j2 در Minecraft نشان داده شده است

آخر هفته گذشته زمان بدی برای مدیر سرور بودن بود. یک آسیب پذیری حیاتی در Apache Log4j2 ظاهر شد. مشکل بزرگ؟ مهاجمان این شانس را دارند که از بسته منبع باز جاوا سوء استفاده کنند که انواع برنامه ها، از توییتر گرفته تا iCloud، برای اجرای هر کدی که مهاجم انتخاب می کند استفاده می کند. با جان هاموند محقق امنیت سایبری از Huntress Labs در مورد این سوء استفاده و تقلای بعدی برای کاهش آسیب صحبت کرد. هاموند این اکسپلویت را در یک سرور Minecraft برای کانال یوتیوب خود بازسازی کرد و نتایج انفجاری بود.
توییت

س: این اکسپلویت چیست؟ آیا می‌توانید به زبان ساده توضیح دهید که چه اتفاقی می‌افتد؟ پاسخ: این سوءاستفاده به بازیگران بد اجازه می‌دهد تا کنترل رایانه را با یک خط متن به دست آورند. به زبان ساده، یک فایل log در حال بازیابی یک ورودی جدید است اما اتفاقاً در حال خواندن و در واقع بر اساس داده های داخل فایل log است. با ورودی ساخته شده به طور خاص، یک رایانه قربانی به یک دستگاه مخرب جداگانه دسترسی پیدا می کند و به آن متصل می شود تا هر گونه اقدام شرورانه ای را که دشمن آماده کرده است دانلود و اجرا کند. س: تکرار این سوء استفاده در Minecraft چقدر سخت بود؟ A: این آسیب پذیری و راه اندازی اکسپلویت بی اهمیت است، که آن را به گزینه ای بسیار جذاب برای بازیگران بد تبدیل می کند. من یک راهنما ویدیویی را نشان داده‌ام که نشان می‌دهد چگونه این در Minecraft بازسازی شده است، و تنظیم "دیدگاه مهاجم" شاید 10 دقیقه طول بکشد اگر بدانند در حال انجام چه هستند و به چه چیزی نیاز دارند. س: چه کسی تحت تأثیر این موضوع قرار می‌گیرد؟ A: در نهایت، همه به نوعی تحت تأثیر این موضوع قرار می گیرند. احتمال بسیار زیاد، تقریباً قطعی، وجود دارد که هر فردی با نرم‌افزار یا فناوری‌ای تعامل داشته باشد که این آسیب‌پذیری را در جایی پنهان کرده است. شواهدی از این آسیب‌پذیری در مواردی مانند آمازون، تسلا، استیم، حتی توییتر و لینکدین دیده‌ایم. متأسفانه، تأثیر این آسیب‌پذیری را برای مدت طولانی شاهد خواهیم بود، در حالی که برخی از نرم‌افزارهای قدیمی ممکن است این روزها نگهداری نشوند یا به‌روزرسانی را انجام دهند. سؤال: طرف‌های آسیب‌دیده برای ایمن نگه داشتن سیستم‌های خود چه کاری باید انجام دهند؟ پاسخ: صادقانه بگویم، افراد باید از نرم‌افزار و برنامه‌هایی که استفاده می‌کنند آگاه باشند، و حتی یک جستجوی ساده در گوگل برای «[that-software-name] log4j» انجام دهند و بررسی کنند که آیا آن فروشنده یا ارائه‌دهنده توصیه‌هایی برای اعلان‌های مربوط به این تهدید جدید به اشتراک گذاشته است یا خیر. این آسیب پذیری کل اینترنت و چشم انداز امنیتی را تکان داده است. مردم باید آخرین به‌روزرسانی‌های امنیتی را به همان سرعتی که در دسترس هستند از ارائه‌دهندگان خود دانلود کنند و مراقب برنامه‌هایی باشند که هنوز در انتظار به‌روزرسانی هستند. و البته، امنیت هنوز به اصول اولیه‌ای خلاصه می‌شود که نمی‌توانید فراموش کنید: یک آنتی‌ویروس قوی اجرا کنید، از رمزهای عبور طولانی و پیچیده استفاده کنید (اکیداً یک مدیر رمز عبور دیجیتال توصیه می‌شود!)، و به‌ویژه از آنچه در ارائه شده است آگاه باشید. در مقابل شما در رایانه شما

توصیه شده توسط ویراستاران ما

آنچه را که می خوانید دوست دارید؟ دوست خواهید داشت که هر هفته به صندوق ورودی شما تحویل داده شود. برای خبرنامه SecurityWatch ثبت نام کنید. پلیس + کارگزاران داده = خلأهای قانونی مجرمان در فیلم های قدیمی همیشه راه خود را در مورد جنبه های درست و نادرست قانون می دانستند. اگر یک افسر پلیس تهدید می‌کرد که در خانه‌اش را می‌کوبد، فقط پوزخند می‌زند و می‌گوید: "اوه بله؟ با یک حکم برگرد." در واقعیت امروز، پلیس اگر بتواند برای گرفتن حکم برای اطلاعات شما زحمت نمی‌کشد. اطلاعات را از یک کارگزار داده خریداری کنید. اکنون، ما کسانی نیستیم که قانون شکنی را رمانتیک کنیم، اما سوء استفاده های احتمالی از قدرت را نیز دوست نداریم. همانطور که راب پگورارو از PCMag می نویسد، کارگزاران داده راه هایی را برای اجرای قانون و آژانس های اطلاعاتی ارائه می کنند تا با اجازه دادن به قانون چهارم، اصلاحیه چهارم را دور بزنند. فروش اطلاعات جمع آوری شده در مورد شهروندان خصوصی در یک مثال، FBI با یک کارگزار داده برای "فعالیت های پیش تحقیقاتی" قرارداد امضا کرد. به لطف سیاست های پیچیده حریم خصوصی برنامه ها و شرایط و ضوابط کارگزار داده، یک شهروند آمریکایی معمولی احتمالاً نمی داند که داده های موقعیت مکانی تلفن خود چگونه وارد یک دستگاه می شود. پایگاه داده اجرای قانون آیا این شما را اذیت می کند؟ اگر چنین است، وقت آن رسیده است که مسائل را به دست خود بگیرید و جمع آوری داده ها را در منبع متوقف کنید. از ویژگی‌های حریم خصوصی موقعیت مکانی که اپل و Google ارائه می‌دهند استفاده کنید تا موقعیت مکانی خود را از برنامه‌هایتان مخفی نگه دارید. iOS به کاربران اجازه می‌دهد هر برنامه‌ای را از اطلاع از موقعیت مکانی خود دور نگه دارند، و اندروید 12 گوگل کنترل‌های مشابهی را اضافه می‌کند. این هفته در دنیای امنیت چه اتفاقی می‌افتد؟

مانند آنچه می خوانید؟
در خبرنامه دیده بان امنیتی ثبت نام کنید تا داستان های برتر حریم خصوصی و امنیتی ما مستقیماً به صندوق ورودی شما تحویل داده شود.

این خبرنامه ممکن است حاوی تبلیغات، معاملات یا پیوندهای وابسته باشد. اشتراک در خبرنامه نشان دهنده رضایت شما با شرایط استفاده و خط مشی رازداری ما است. شما می توانید در هر زمان از خبرنامه ها لغو اشتراک کنید.

var facebookPixelLoaded = false;
window.addEventListener('load', function(){
document.addEventListener('scroll', facebookPixelScript);
document.addEventListener('mousemove', facebookPixelScript);
})

تابع facebookPixelScript() {
اگر (!facebookPixelLoaded) {
facebookPixelLoaded = درست است.
document.removeEventListener('scroll', facebookPixelScript);
document.removeEventListener('mousemove', facebookPixelScript);

!function(f,b,e,v,n,t,s){if(f.fbq)return;n=f.fbq=function(){n.callMethod?
n.callMethod.apply(n,arguments):n.queue.push(arguments)};if(!f._fbq)f._fbq=n;
n.push=n;n.loaded=!0;n.version='2.0';n.queue=[];t=b.createElement(e);t.async=!0;
t.src=v;s=b.getElementsByTagName(e)[0];s.parentNode.insertBefore(t,s)}(پنجره،
document,'script','//connect.facebook.net/en_US/fbevents.js');

fbq('init', '454758778052139');
fbq ('track', "PageView");
}
}