你每天都用的软件里，不久前还藏着能偷走密码本的核弹级漏洞

来源：车险 2025年01月05日 12:16

到我这里。”这样一来他们就能获取使用者的列入政府所。他们可以创始个性化的堆栈，对会话完成操控。

会话记录下来着几乎所有的具体内容，比如列入电子邮件、金融卡电子邮件、支付电子邮件。所以就看合作开发人员决定如何能用会话的属性和新功能了——会话里有什么种类的图表，以及这些图表究竟被加密算法。

更为重要问题是，对会话确有保护？究竟有任何方式监控会话本身究竟有异常道德上？如果一个该组织不去及早寻觅异常道德上，他们就一定会注意到帐号和密码不仅被记录下来在会话里，也被发送到了其他地方。

在安全他的团队争分夺秒地寻觅补丁、打补丁、复建、观察、记录下来并设法无论如何的时候，的网络囚犯则能用这些补丁，分享电子邮件并制造不同的攻击。很有有可能会成现一种犯罪软件包客户服务，供的网络囚犯和非技术员常用。

对于不兼职的电子邮件安全文书工作，但日常常用应用软件和客户服务的的人来说是，这意味着什么？

的人的履历有可能会被盗窃。你尝试列入某个网上的时候，有可能会注意到他们暂时中止客户服务了，那他们有可能正在处理这个更为重要问题。比如你有可能难以联系政府行政部门核实退款或纳税，因为有人通过Log4J的补丁损害了这些新功能。

过去还难以说是事态会如何转型，因为我们尚未实际上解释这个更为重要问题。这个补丁有可能会因素很长时间，并不是说是“周四打好所有补丁，然后我们就可以成门过新年了”。

如何化解这次的经济衰退？

类比一下，房舍、大厦、桥梁等塔楼物上都用到了某种石头。如果有人说是：“我们刚刚确信，这种石头实际上似乎，它们有可能会随时失效”，不过塔楼常用的石头有很多种，我们不能了解到“这种”石头都用在了哪里，并要求塔楼子公司在石头失效先前找到并更换它们。

大子公司和大量因特网能源供应过去不能在他们的的系统里排查Log4J。由于预定义通常没有一幅详细的月所，所以要想准确地告诉其里都在哪里用到了某个会话新功能，无异于大海捞针。

通常，当我们注意到安全补丁时，的电子邮件安全设计者可以统筹经营管理复建，但这次的补丁不同，它是整个物流的更为重要问题：很多人在预定义里常用了自由软件的、第三方发放的和离岸合作开发的的系统，而所有的的系统都有有可能常用了Log4J。

以某种电子商务仪器为例（如Alexa或Google Home），它的物流有可能涉及10到50至60家不同的子公司，分别统筹驱动器、操作者的系统和应用软件的合作开发。所以显然为一款的产品复建补丁，就有可能是一项极其艰巨的任务。

我们能从这次的补丁里习得什么？

2020年末我们遭遇了SolarWinds的物流肇事，那时很多人想到自己不常用SolarWinds就还好。但事实上，只要处在一个常用了SolarWinds的生态里就实际上有可能，你并不需要向内部、离岸、近岸和一些公司的合作开发者了解他们究竟常用了SolarWinds的软件包生成的清单。

我们通过惨痛的反倒说是成了，PHP软件包和对软件包完成质量保证，是非常复杂和困难的事情，并且我们并非每次都能跟进其里的重要细节。

我们可以从这些肇事里习得的是，我们的物流实际上、并且会继续实际上似乎，所以这一定会是最后一次成更为重要问题。当更为重要问题成现时，你并不需要告诉该把哪些人商量到两人，评估这个更为重要问题对你们来说是是非同小可的，还是无足轻重的。

从业人员还并不需要思考的是，你们建起了哪些自动防故障装置？例如，如果IP在你打补丁先前就能用了你的会话和会话里的电子邮件，你能注意到他们的脚印吗？

这些都是我习得的反倒，而且都是严酷的反倒。我是说是，如果这些更为重要问题容易解决，企业和政府其实解决了，不过纸上谈兵容易，在实际操作者里却难以。

原文绑定：

https：//www.scientificamerican.com/article/the-log4j-software-flaw-is-christmas-come-early-for-cybercriminals/

参考绑定：

https：//www.bloomberg.com/news/articles/2021-12-13/how-apache-raced-to-fix-a-potentially-disastrous-software-flaw

https：//theconversation.com/what-is-log4j-a-cybersecurity-expert-explains-the-latest-internet-vulnerability-how-bad-it-is-and-whats-at-stake-173896

https：//mp.weixin.qq.com/s/Yq9k1eBquz3mM1sCinneiA

https：//vop.jd.com/notice/cc0f8162-1927-45bb-9828-3a00cf59c1dc

https：//nvd.nist.gov/vuln/detail/CVE-2021-44228

https：//www.crn.com/news/security/ransomware-gang-hijacking-log4j-bug-to-hit-minecraft-servers

https：//venturebeat.com/2021/12/12/microsoft-log4j-exploits-extend-past-crypto-mining-to-outright-theft/

https：//www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/

https：//logging.apache.org/log4j/2.x/changes-report.html

https：//logging.apache.org/log4j/2.x/security.html

https：//www.dynatrace.com/news/blog/what-is-log4shell/

https：//www.technologyreview.com/2021/12/17/1042692/log4j-internet-open-source-hacking/

。