Ernstig lek ‘Log4Shell’ treft het hele internet – ook iCloud (update)

Update 14 december: Volgens MacWorld heeft Apple inmiddels het Log4Shell-lek in iCloud gedicht. Hetzelfde lek blijft echter aanwezig op een groot aantal websites en diensten, dus de dreiging is verre van voorbij.

Een groot deel van het internet is getroffen door het ‘Log4Shell’-beveiligingslek, en ook iCloud lijkt kwetsbaar te zijn.

Logboek

Het probleem zit ‘m in het Java-programma Log4j. Dit wordt in allerlei servers en websites gebruikt om activiteit te loggen. Hieronder valt ook alles wat een gebruiker invoert op een website.

Door een bepaald stukje code te sturen naar een website of dienst, bijvoorbeeld door het in te vullen in een chatbox, wordt dit gelogd door Log4j. Vervolgens wordt de code uitgevoerd, terwijl dit niet hoort te kunnen. Hierdoor kan een hacker op afstand controle krijgen over de website.

Log4Shell in iCloud

kooptip

De nieuwe iPhone 16e! Nu bij Vodafone

Met € 7,50 korting p.m. op Red Unlimited als je ook Ziggo Internet hebt!

Bekijk actie

Er is al van meerdere populaire diensten ontdekt dat ze getroffen zijn door het zogenaamde Log4Shell-lek. Een voorbeeld daarvan is Minecraft: Java Edition. Hierbij is het mogelijk om tijdens multiplayer code in de chat in te vullen, waardoor de computer die zijn wereld deelt kwetsbaar is. Dit lek is in de nieuwste versie 1.18.1 opgelost.

Er wordt vermoed dat ook diensten als Twitter, Steam en zelfs iCloud kwetsbaar zijn voor het lek. Het is ook niet zomaar te dichten, omdat de log-software constant moet draaien, met name wanneer eventuele hackers bijgehouden moeten worden.

Er is al ontdekt dat het invullen van malafide code in de iPhone-naam al voor problemen zorgt: deze naam wordt namelijk doorgestuurd naar de servers van iCloud, waar ook gebruik gemaakt wordt van Log4j.

kooptip

De nieuwe iPhone 16e! Nu bij Vodafone

Met € 7,50 korting p.m. op Red Unlimited als je ook Ziggo Internet hebt!

Bekijk actie

Waarschuwing overheid

Het Nationaal Cyber Security Centrum (NCSC), de security-afdeling van het Ministerie van Justitie en Veiligheid, waarschuwt voor het lek en adviseert om zo snel mogelijk servers en websites te updaten.

Het beveiligingsadvies van het NCSC voor het Log4j-lek is high/high: hoge kans op misbruik, met grote mogelijke schade. Dit hoogste waarschuwingsniveau komt niet vaak op deze schaal voor.

Wat kun jij doen?

Wat dit lek lastig maakt, is dat het grotendeels aan de serverkant zit. Dit betekent dus dat het updaten van je eigen software niet altijd genoeg is.

We adviseren je wel altijd om je Mac, iPad en iPhone up-to-date te houden, evenals de apps die je gebruikt. Maar uiteindelijk moet de werkelijke ‘fix’ voor dit lek vanuit de beheerders van de servers komen: afwachten dus.

Bron: Wired