Topo

Bug em Log4j ainda dá trabalho para empresas de tecnologia

Por Joseph Menn
Imagem: Por Joseph Menn

Por Joseph Menn

SÃO FRANCISCO, Estados Unidos (Reuters)

16/12/2021 17h14

Por Joseph Menn

SÃO FRANCISCO, Estados Unidos (Reuters) - Algumas das maiores companhias de tecnologia do mundo ainda enfrentam dificulades para tornar seus produtos seguros em relação a uma vulnerabilidade encontrada na popular biblioteca de software de registro de dados Log4j uma semana depois que hackers começaram a explorá-la.

Cisco, IBM, VMware e Splunk estão entre empresas com múltiplas partes da biblioteca sendo usada por clientes sem solução para a vulnerabilidade, segundo listagem da Agência de Segurança de Cibersegurança e Infraestrutura dos Estados Unidos (Cisa).

A biblioteca tem utilidades como ajudar produtores de software a acompanhar atividades como visitas a sites, cliques e conversas. A vulnerabilidade na Log4j é considerada por autoridades e pesquisadores de segurança digital como a pior já encontrada nos últimos anos.

Um pesquisador da companhia chinesa de tecnologia Alibaba fez o alerta à Fundação Apache no início deste mês que a Log4j não apenas ajuda no acompanhamento de conversas ou cliques, mas também permite a ativação de links em sites externos, o que pode abrir caminho para hackers assumirem o controle de servidores.

A Apache correu para resolver o problema. Mas milhares de outros programas usam a biblioteca que os desenvolvedores precisam distribuir seus próprios reparos para resolver a vulnerabilidade em seus programas.

"Muitos fornecedores de software ainda não tem 'patches' de segurança para esta vulnerabilidade", disse o analista de ameaças de segurança Kevin Beaumont.

(Por Joseph Menn)