Den här månaden upptäckte säkerhetsforskare en farlig Java-sårbarhet (Log4Shell) som kunde utnyttjas för att tillåta angripare att ta kontroll över ett offers enhet. Det problematiska Log4j-biblioteket används för loggning och distribueras tillsammans med Apache Logging Project, vilket innebär att miljontals enheter runt om i världen är potentiellt sårbara. Nu blev det känt vilka mjukvaruprodukter från Intel, NVIDIA och Microsoft som berörs av problemet.
Bildkälla: Shutterstock
Intel har publicerat en lista med nio produkter som använder Java och är sårbara. Dessa verktyg är: Intel Audio Development Kit, Intel Datacenter Manager, Intel oneAPI exempel webbläsarplugin för Eclipse, Intel System Debugger, Intel Secure Device Onboard, Intel Genomics Kernel Library, Intel System Studio, Intel Sensor Solution Firmware Development Kit och Intel-stödd datorseende annoteringsverktyg.
Utnyttjande av en sårbarhet i Log4j-biblioteket tillåter en hackare att få fullständig kontroll över en attackerad enhet, inklusive exekvering av godtycklig kod förbi säkerhetslösningar. En av de utmärkande egenskaperna för utnyttjandet är att angriparen inte behöver interagera med offret för att använda den. Den kan startas via vilken server som helst som har tillgång till en webbläsare, vilket gör sårbarheten extra farlig. Enligt tillgänglig data utvecklar Intel för närvarande lämpliga patchar, som snart kommer att släppas tillsammans med uppdateringar för de nämnda produkterna.
Situationen med NVIDIA-programvara är något mer komplicerad. När det gäller att använda de senaste versionerna av tjänsterna för var och en av applikationerna finns det för närvarande inga kända sårbarheter som kan utnyttjas av hackare. Om de senaste uppdateringarna inte installeras i tid påverkar Log4Shell-sårbarheten följande produkter: CUDA Toolkit Visual Profiler och Nsight Eclipse Edition, DGX Systems, NetQ och vGPU Software License Server.
NVIDIA distribuerar även DGX företagsdatorsystem med Ubuntu-Linux-paket, och användare kan självinstallera Apache Log4j-funktionsblocket. Den out-of-the-box-konfigurationen är alltså inte sårbar, men om användaren installerade nämnda block på egen hand rekommenderar NVIDIA att du uppdaterar tjänsten till den senaste versionen. När det gäller Microsoft-produkter har mjukvarujätten redan släppt uppdateringar för Azure Spring Cloud och Azure DevOps, som använder Log4j-biblioteket i sitt arbete.
AMD sa att dess mjukvarulösningar är skyddade från en exploatering som utnyttjar sårbarheten. Denna slutsats gjordes utifrån företagets forskning. Samtidigt noterar utvecklarna att sårbarheten potentiellt är mycket farlig, så AMD-specialister kommer att fortsätta analysera företagets mjukvaruprodukter.
Om du upptäcker ett fel, välj det med musen och tryck på CTRL + ENTER.
