Log4Shell可以破解你的iPhone甚至特斯拉

既然Log4Shellcat已经不存在了，研究人员正在试验该漏洞可以在野外使用的所有不同方式。这包括最近的两个示例，展示了如何在iPhone或Tesla汽车上使用Log4j开源Java工具中的漏洞来破坏与端点通信的服务器。

一位荷兰研究人员演示了如何将iPhone的名称更改为字符串会迫使另一端的服务器尝试访问特定的URL。一位不知名的研究人员对一辆特斯拉汽车做了同样的事情，他们将他们的结果发布到匿名的Log4jAttackSurfaceGithub存储库。

从理论上讲，恶意行为者可以在服务器上托管恶意软件，然后通过更改iPhone的名称，可以强制Apple的服务器访问该服务器的URL并下载恶意软件。

不过，这是一个长期目标，因为任何维护良好的网络都能够相对轻松地防止此类攻击。此外，TheVerge进一步解释说，没有迹象表明这种方法会导致这些公司的任何更广泛的妥协。

Log4Shell是最近在Log4jJava工具中发现的漏洞的名称，一些研究人员认为该工具可以处理数百万台设备以进行事件记录。

网络安全和基础设施安全局(CISA)局长JenEasterly将这一缺陷描述为她在整个职业生涯中所见过的“最严重的缺陷之一”，“如果不是最严重的”。

Easterly解释说：“我们预计该漏洞将被老练的参与者广泛利用，我们采取必要措施以减少损害的可能性的时间有限。”

它被跟踪为CVE-2021-44228，并允许恶意行为者运行几乎任何代码。专家警告说，利用该漏洞所需的技能非常低，并敦促大家尽快修补Log4j。

在其软件中使用Log4j的组织应立即将其升级到最新的2.15版本，该版本可从MavenCentral获得。