Ciência e sociedade

Descoberta falha de software que seria 'a mais crítica vulnerabilidade da última década'

Foi descoberta originalmente no videojogo Minecraft uma vulnerabilidade de dia zero que afeta diversos serviços on-line importantes, incluindo a Apple, Amazon, Cloudflare, Twitter, Steam e Baidu.
Sputnik
Foi encontrada uma falha de software em um grande número de aplicativos, portais e serviços por um trabalhador do consórcio chinês privado Alibaba, informou na sexta-feira (10) o portal TechCrunch.
A vulnerabilidade foi descoberta na ferramenta de registro de código aberto Apache Log4j por Chen Zhaoijun pela primeira vez no videojogo Minecraft, propriedade da Microsoft, segundo o TechCrunch.
A LunaSec, empresa de cibersegurança, alerta que essa vulnerabilidade, que recebeu o nome de Log4Shell, pode ter se espalhado para "muitos serviços" devido à sua ubiquidade em aplicativos e servidores empresariais baseados na linguagem de programação Java. Até agora isso foi confirmado pelos serviços das empresas Apple, Amazon, Cloudflare, Twitter, Steam, Baidu, NetEase, Tencent e Elastic, mas é estimado que o número total de empresas e organizações afetadas possa chegar a milhares.
Falha em aplicativo do Google e Apple expõe dados confidenciais dos usuários
Robert Joyce, diretor de cibersegurança da Agência de Segurança Nacional, na sigla em inglês (NSA, na sigla em inglês) dos EUA, já opinou que se trata de uma "ameaça significante", e confirmou que a GHIDRA, ferramenta de engenharia inversa de código aberto desenvolvido pela organização, já foi afetada.
De acordo com Amiot Yoran, que foi citado pela agência norte-americana Associated Press (AP), trata-se da "maior, mais crítica vulnerabilidade da última década". Adam Meyers, vice-presidente sênior de inteligência da empresa de cibersegurança Crowdstrike, por sua vez, adverte que os cibercriminosos têm desenvolvido e distribuído ferramentas para explorar a falha.
A corporação Apache Software Foundation já lançou uma atualização de segurança de emergência para a vulnerabilidade de dia zero, e implementou uma série de medidas de mitigação para os usurários que não puderem instalar a atualização de imediato.
Comentar