Minecraft 用户很快就利用了一个关键的软件缺陷：NPR

微软的 Lydia Winters 在 2015 年电子娱乐博览会之前展示了“Minecraft”。网络安全专家表示，Minecraft 玩家很快就利用了广泛使用的软件中的一个关键漏洞，情报公司周五竞相修复该漏洞。

达米安·德瓦加尼斯/法新社

隐藏标题

字幕切换

达米安·德瓦加尼斯/法新社

微软的 Lydia Winters 在 2015 年电子娱乐博览会之前展示了“Minecraft”。网络安全专家表示，Minecraft 玩家很快就利用了广泛使用的软件中的一个关键漏洞，情报公司周五竞相修复该漏洞。

达米安·德瓦加尼斯/法新社

波士顿 – 一个广泛使用的软件工具中的一个严重漏洞 – 一个在网络游戏 Minecraft 中被迅速利用的漏洞 – 正在成为对世界各地组织的主要威胁。

“互联网现在很火，”网络安全公司 Crowdstrike 情报高级副总裁亚当迈尔斯说。 “人们争先恐后地打补丁，各种各样的人争先恐后地利用它，”他说。 他在周五早上说，自漏洞存在以来的 12 小时内，它已经“全副武装”，这意味着犯罪分子已经开发并分发了利用它的工具。

该漏洞可能是多年来发现的最严重的安全漏洞。 它在一个开源注册表工具中公开，该工具在工业和政府使用的云服务器和企业软件中无处不在。 除非得到修复，否则犯罪分子、间谍和编程新手都可以轻松访问内部网，在那里他们可以掠夺有价值的数据、植入恶意软件、删除重要信息等等。

“我很难想到一家没有风险的公司，”Cloudflare 的首席安全官 Joe Sullivan 说，其在线基础设施保护网站免受恶意行为者的侵害。 它安装了数以百万计的服务器，专家表示，几天后才会知道后果。

网络安全公司 Tenable 的首席执行官阿米特·约兰 (Amit Yoran) 称其为“过去十年中最大和最严重的漏洞”——也许是现代计算史上最大的漏洞。

弱点， 被称为“Log4Shell” 它在 Apache 软件基金会（负责监督软件开发）的 1-10 分等级中获得了 10 分。 任何人都可以利用 获得对未打补丁的计算机的完全访问权限 该程序使用

专家表示，该漏洞让攻击者无需密码即可轻松访问网络服务器，这正是它如此危险的原因。

新西兰计算机应急响应小组是最早报告缺陷的小组之一 被“在野外积极开发” 就在周四公开宣布并发布补丁几个小时后。

中国科技巨头阿里巴巴于 11 月 24 日向该组织报告了该漏洞，该漏洞存在于用于支持网站和其他 Web 服务的开源 Apache 软件中， 他说. 开发和发布修复程序花了两周时间。

但世界各地的校正系统可能是一项复杂的任务。 虽然大多数组织和像亚马逊这样的云提供商应该能够轻松更新他们的网络服务器，但 Apache 软件本身通常内置于第三方软件中，通常只能由其所有者更新。

Tenable 的 Joran 说，组织需要假设他们已经受到威胁并迅速采取行动。

利用该漏洞的第一个明显迹象出现在 Minecraft 中，这是一款深受儿童喜爱的在线游戏，由微软所有。 迈尔斯和安全专家马库斯哈钦斯说 Minecraft 用户已经在使用它来实现程序 在其他用户的计算机上通过将短消息粘贴到聊天框中。

微软表示已为 Minecraft 用户发布了软件更新。 “实施改革的客户受到保护，”她说。

研究人员报告发现有证据表明该漏洞可以在 Apple、Amazon、Twitter 和 Cloudflare 等公司运营的服务器中被利用。

Cloudflare 的 Sullivan 表示，我们没有迹象表明他公司的服务器受到了损害。 苹果、亚马逊和推特没有立即回应置评请求。