Log4Shell : iCloud, Steam et d’autres services sont touchés par la faille 0-day
Log4Shell est le nom d’une faille de sécurité de type 0-day qui touche de nombreux services, dont iCloud d’Apple, Steam et Minecraft. Lorsqu’elle est exploitée, cette vulnérabilité permet aux pirates d’exécuter un code malveillant sur les serveurs vulnérables.
Le danger de la faille de sécurité Log4Shell
Comme l’explique l’entreprise de sécurité LunaSec, la vulnérabilité Log4Shell a été découverte pour la première fois dans log4j, une bibliothèque open-source utilisée par de nombreuses applications et sites Web pour la journalisation. Cet élément consiste à conserver une liste des activités effectuées afin de les examiner ultérieurement pour corriger des bugs ou d’autres erreurs.
Selon le chercheur en sécurité Marcus Hutchins, la faille 0-day pourrait affecter des millions d’applications dans le monde, la bibliothèque log4j étant largement utilisée par les développeurs. Pour exploiter la vulnérabilité, les pirates doivent enregistrer une chaîne spéciale avec des caractères spécifiques dans le journal. Il se trouve que la vulnérabilité est facile à exploiter et peut être déclenchée de diverses manières.
Valve, qui s’occupe de Steam, a réagi à la faille. Le groupe indique que ses ingénieurs ont immédiatement examiné ses systèmes et, en raison des règles de sécurité du réseau concernant le code non fiable, ils ne pensent pas que Steam présente un risque d’exploitation. Apple, en revanche, n’a pas fait de commentaire.