Adam Kos Yr wythnos diwethaf datgelwyd bod twll diogelwch yn yr offeryn ffynhonnell agored log4j yn peryglu miliynau o gymwysiadau a ddefnyddir gan ddefnyddwyr ledled y byd. Mae arbenigwyr seiberddiogelwch eu hunain wedi ei ddisgrifio fel y bregusrwydd diogelwch mwyaf difrifol yn ystod y 10 mlynedd diwethaf. Ac roedd hefyd yn ymwneud ag Apple, yn benodol ei iCloud.
Offeryn logio ffynhonnell agored yw Log4j a ddefnyddir yn eang gan wefannau a chymwysiadau. Felly, gellid defnyddio'r twll diogelwch agored mewn miliynau o gymwysiadau yn llythrennol. Mae'n caniatáu i hacwyr redeg cod maleisus ar weinyddion bregus a gall hefyd effeithio ar lwyfannau fel iCloud neu Steam. Ar ben hynny, mae hyn ar ffurf syml iawn, a dyna pam y dyfarnwyd gradd o 10 allan o 10 iddo hefyd o ran ei feirniadaeth.
Yn ogystal â'r peryglon a achosir gan y defnydd eang o Log4j, mae'n hynod o hawdd i ymosodwr ddefnyddio ecsbloetio Log4Shell. Mae'n rhaid iddo wneud y cais yn arbed llinyn arbennig o nodau yn y log. Oherwydd bod cymwysiadau yn cofnodi amrywiaeth eang o ddigwyddiadau fel mater o drefn, megis negeseuon a anfonwyd ac a dderbynnir gan ddefnyddwyr neu fanylion gwallau system, mae'r bregusrwydd hwn yn anarferol o hawdd i'w ddefnyddio, a gellir ei sbarduno mewn llawer o wahanol ffyrdd.
Gallai fod o ddiddordeb i chi
Mae Apple eisoes wedi ymateb
Yn ôl y cwmni Cwmni Golau Eclectig Mae Apple eisoes wedi gosod y twll hwn yn iCloud. Mae'r wefan yn nodi bod y bregusrwydd iCloud hwn yn dal i fod mewn perygl ar Ragfyr 10, tra diwrnod yn ddiweddarach ni ellid ei ddefnyddio mwyach. Nid yw'n ymddangos bod y camfanteisio ei hun wedi cynnwys macOS mewn unrhyw ffordd. Ond nid Apple oedd yr unig un oedd mewn perygl. Dros y penwythnos, er enghraifft, gosododd Microsoft ei dwll yn Minecraft.
Os ydych yn ddatblygwyr a rhaglenwyr, gallwch edrych ar dudalennau'r cylchgrawn diogelwch noeth, lle byddwch yn dod o hyd i erthygl eithaf cynhwysfawr yn trafod y mater cyfan.
