Uma falha do tipo “dia-zero” na biblioteca Log4j, da Apache, foi divulgada e corrigida na última sexta-feira (10). A biblioteca é usada no processo de autenticação via internet por grandes empresas, como Amazon, Apple, Cloudflare, Steam, Tesla e servidores de jogos como Minecraft. Por isso, e pelo modo como permite que a biblioteca seja explorada, a falha é considerada gravíssima: basta uma “string” (um texto) executada remotamente para que o atacante obtenha acesso e privilégios no computador-alvo, podendo depois disso instalar softwares e capturar dados. Via The Hacker News (em inglês).

O Bleeping Computer listou alguns casos em que a falha na Log4j já está sendo explorada: instalação de mineradores de criptomoedas, “recrutadores” de botnets e captura silenciosa de dados. Via Bleeping Computer (em inglês).

Apesar de corrigir a falha na versão 2.15.0, pode levar algum tempo para que os milhões de servidores que usam a biblioteca Log4j atualizarem — e não há garantia de que todos farão isso. O potencial de estragos é enorme.

Um detalhe deprimente: o mantenedor da Log4j faz isso nas horas vagas e tem três apoiadores (pessoas que pagam pelo seu serviço) no GitHub. A gente já viu esse filme: softwares que sustentam negócios trilionários mantidos por voluntários em seu tempo livre. Está tudo errado. Via @FiloSottile/Twitter (em inglês).