Na sexta-feira passada, comentamos a descoberta de uma vulnerabilidade zero-day no utilitário de logging open source Log4j, a qual poderia dar a invasores a capacidade de executar códigos maliciosos em servidores remotos.
Inúmeros aplicativos e serviços seriam considerados vulneráveis pela falha, identificada como Log4Shell (CVE-2021-44228), incluindo o iCloud. A Apache Software Foundation, que executa o utilitário, classificou a vulnerabilidade como “gravíssima” devido à facilidade com que poderia ser explorada e à natureza generalizada do Log4j.
Agora, informações da The Ecletic Light Company dão conta de que a Apple disponibilizou uma correção para a falha. Ao que tudo indica, a correção foi feita antes do lançamento dos novos sistemas da Maçã, de forma remota. Ainda assim, a atualização para o iOS/iPadOS 15.2 e para o macOS Monterey 12.1 é indicada para a correção de outras falhas.
Não está claro quantos aplicativos foram afetados pela vulnerabilidade, mas o uso do Log4j é extremamente difundido, uma vez que a biblioteca Log4j é usada em toda a web para registros, uma prática universal entre os desenvolvedores da web.
No entanto, mesmo se você tivesse usado um dos aplicativos afetados, a probabilidade de seu Mac estar em risco é bem baixa. Quando explorada, a falha afeta o servidor que executa o Log4j, não o computador em si — embora ele poderia, teoricamente, ter sido usado para implantar um aplicativo malicioso que, em seguida, afeta a máquina conectada.
Felizmente, tudo parece estar devidamente solucionado no iCloud.
via Macworld