安全|让全世界大厂都手忙脚乱的代码漏洞是怎么一步步成为噩梦的？_让全世界大厂都手忙脚乱的代

最近几天，世超在各家互联网大厂的程序员朋友们，都快被一个叫 Log4Shell 的史诗级漏洞给折磨疯了！这个漏洞源于一个叫 Log4J2 （ Log For Java 2 ）的 Java 开源日志框架，它在用 Java 敲代码的码农群体里可以说是无人不知，无人不晓。

文章图片

它就好像早年间打《魔兽世界》一定要装的大脚插件一样，属于真正意义上的 “ 咖啡伴侣 ”，很少有 Java 程序不用这个组件。

文章图片

就是这么一个要命的底层日志框架，被发现透了一个洞……
最先发现漏洞的，是阿里云安全团队中，一位叫 Chen Zhaojun 的大佬。
据他的说法，这个漏洞很早就被国外的安全代码扫描平台扫出来了，圈内的程序员大佬们也都在等待官方的修复，没有声张。
“ 上百万刀的安全架构，在 Log4J2 漏洞面前一文不值…… ” ▼

文章图片

很快啊，包括了阿里、腾讯、百度、网易、新浪等一众国内的互联网大厂纷纷中枪，都被圈在了受影响的范围之内。
有博主还收到了腾讯云发来的防护短信。▼

文章图片

不仅仅是大厂的服务系统，耳机、电脑、车机等硬件系统等也无一幸免……

文章图片

不夸张的说，这个漏洞要是不及时修补，下场就是被如饥似渴的黑客们捅烂，进一步威胁网络安全。
他们会有效利用 “ 零日漏洞 ” （指的是发现后立即被恶意利用的安全漏洞）发动零时差攻击，抢在安全补丁出来之前，对服务器造成杀伤。

文章图片

就连我们日常使用的手机、电脑软件（大部分都是拿 Java 写的），也都将暴露在黑客的的攻击范围内，想捅哪里捅哪里，把你的电脑挟持过来挖矿也不是没可能。
就和打游戏偷家似的，so easy ……
不过有意思的是，也有乐子人利用这个漏洞，发现了特斯拉把国内数据上传到美利坚服务器的尴尬事儿。