В этом месяце исследователи в сфере информационной безопасности обнаружили опасную уязвимость Java (Log4Shell), эксплуатация которой позволяет злоумышленникам получить контроль над устройством жертвы. Проблемная библиотека Log4j используется для ведения логов и распространяется вместе с Apache Logging Project, а значит, потенциально уязвимыми являются миллионы устройств по всему миру. Теперь же стало известно, какие программные продукты Intel, NVIDIA и Microsoft затрагивает проблема.
Источник изображения: Shutterstock
Intel опубликовала список из девяти продуктов, которые используют Java и являются уязвимыми. Речь идёт о следующих инструментах: Intel Audio Development Kit, Intel Datacenter Manager, Intel oneAPI sample browser plugin for Eclipse, Intel System Debugger, Intel Secure Device Onboard, Intel Genomics Kernel Library, Intel System Studio, Intel Sensor Solution Firmware Development Kit, а также поддерживаемый Intel инструмент аннотации компьютерного зрения.
Эксплуатация уязвимости библиотеки Log4j позволяет хакеру получить полный контроль над атакуемым устройством, в том числе для выполнения произвольного кода в обход решений, используемых для обеспечения безопасности. Одна из отличительных особенностей эксплойта заключается в том, что для его использования злоумышленнику не требуется взаимодействовать с жертвой. Его можно запустить через любой имеющий доступ к браузеру сервер, что делает уязвимость особенно опасной. Согласно имеющимся данным, в настоящее время Intel занимается разработкой соответствующих патчей, которые в скором времени будут выпущены вместе с обновлениями для упомянутых продуктов.
Ситуация с программным обеспечением NVIDIA несколько сложнее. В случае использования наиболее актуальных версий служб каждого из приложений на данный момент нет известных уязвимостей, которые могли бы эксплуатироваться злоумышленниками. Если же актуальные обновления устанавливаются несвоевременно, то уязвимость Log4Shell затрагивает следующие продукты: CUDA Toolkit Visual Profiler and Nsight Eclipse Edition, DGX Systems, NetQ и vGPU Software License Server.
NVIDIA также распространяет вычислительные корпоративные системы DGX с пакетами Ubuntu-Linux, и пользователи могут самостоятельно устанавливать функциональный блок Apache Log4j. Таким образом, готовая конфигурация не является уязвимой, но, если пользователь самостоятельно установил упомянутый блок, NVIDIA рекомендует обновить службу до последней версии. Что касается продуктов Microsoft, то софтверный гигант уже выпустил обновления для Azure Spring Cloud и Azure DevOps, которые используют в работе библиотеку Log4j.
Компания AMD заявила, что её софтверные решения защищены от эксплойта, использующего упомянутую уязвимость. Такое заключение было сделано на основе проведённого компанией исследования. При этом разработчики отмечают, что потенциально уязвимость является очень опасной, поэтому специалисты AMD продолжат анализ программных продуктов компании.
Источник: 3DNews