Facebook: ένα απλό JPEG ήταν αρκετό για να χαράξει λογαριασμούς

Phonandroid : actu Android et High-tech

Το Facebook μόλις διόρθωσε δύο ευπάθειες των οποίων η εκμετάλλευση επέτρεψε στους χάκερ να αποκτήσουν ευαίσθητες πληροφορίες από τους διακομιστές του. Ένα απλό αρχείο JPEG ήταν αρκετό για να καταστρέψει τα συστήματα κοινωνικών δικτύων δημιουργώντας διαρροή μνήμης. Αυτό επιτρέπει την πρόσβαση σε δεδομένα που θα μπορούσαν να θέσουν σε κίνδυνο λογαριασμούς χρηστών.

Το Facebook ασχολείται συνεχώς με ζητήματα ασφαλείας που αποκαλύπτουν τα δεδομένα των χρηστών του. Μετά τη διαρροή περισσότερων από 400 εκατομμυρίων αριθμών τηλεφώνου που αφέθηκαν στο έλεος των χάκερ, η εταιρεία μόλις ανακοίνωσε ότι έχει διορθώσει δύο ευπάθειες που ονομάζονται CVE-2019-11925 και CVE-2019-11926. Συνδέονται με την υπηρεσία HHVM που αναπτύχθηκε από την εταιρεία για τη βελτίωση της εκτέλεσης και της απόδοσης των προγραμμάτων που γράφτηκαν στην PHP.

Το Facebook διορθώνει δύο τρύπες ασφαλείας που εκθέτουν ευαίσθητα δεδομένα

Σύμφωνα με το The Hacker News, αυτά τα δύο ελαττώματα μπορούν να αξιοποιηθούν με δύο τρόπους: επιτρέψτε στους επιτιθέμενους να αποκτούν ευαίσθητες πληροφορίες από απόσταση από τους διακομιστές HHVM του Facebook ή προκαλούν άρνηση υπηρεσίας που είναι μια μορφή επίθεσης που έχει ως στόχο να κάνει μια εφαρμογή αδύνατη να ανταποκριθεί σε αιτήματα των χρηστών της. Θα μπορούσαν να είχαν αξιοποιηθεί για να δημιουργήσουν αποτυχίες στο Facebook που κάνουν το κοινωνικό δίκτυο απρόσιτο.

Διαβάστε επίσης : Facebook hack – κλεμμένα ονόματα χρήστη και κωδικοί πρόσβασης πωλούνται για 2,50 € στο Dark Web

Και τα δύο ελαττώματα σχετίζονται με πιθανή διαρροή μνήμης που δημιουργήθηκε όταν ένα κατεστραμμένο αρχείο JPEG φορτώνεται στους διακομιστές της εταιρείας, με αποτέλεσμα την πρόσβαση σε δεδομένα εκτός των ορίων της εκχωρημένης μνήμης. Δεδομένου ότι η υπηρεσία HHVM είναι ανοιχτού κώδικα, και οι δύο ευπάθειες επηρεάζουν όλους τους ιστότοπους που τη χρησιμοποιούν, συμπεριλαμβανομένης της Wikipedia και συγκεκριμένα ιστότοπους που επιτρέπουν στους χρήστες να ανεβάζουν εικόνες στον διακομιστή.

Πηγή: The Hacker News