Facebook 服务器现高危漏洞,JPEG图像可导致数据泄露
2019-09-10 19:01:34 Author: mp.weixin.qq.com(查看原文) 阅读量:51 收藏

社交网络巨头Facebook,是人们分享生活、联系交流的重要平台。

作为最大的照片分享站点,Facebook每天上传的照片高达上亿张。

然而这些上传的JPEG图像文件也有可能成为攻击者的利器。

Facebook的HHVM出现漏洞
早前,Facebook服务器中发现了两个高危漏洞,恶意攻击者会利用这些漏洞远程上传JPEG图像文件,以此来获取用户的敏感信息或者直接导致拒绝服务。
这些漏洞存在于HHVM (HipHop Virtual Machine)中。

HHVM是Facebook开发的高性能开源虚拟机,用于执行用PHPHack编程语言编写的程序。HHVM使用一种即时(JIT)编译器在实现HackPHP代码的卓越性能的同时保持PHP语言提供的开发灵活性。

由于受影响的HHVM服务器应用程序是开源且免费的,因此这两个问题也可能影响使用HHVM的其他网站,包括Wikipedia,Box,尤其是那些允许其用户在服务器上上传图片的网站。
下面列出的这两个漏洞,当传入一个特定的无效JPEG输入时,HHVM的GD扩展中可能存在内存溢出,从而导致越界读取,这也就使得恶意程序能够读取来自分配内存范围之外的数据。
CVE-2019-11925GD扩展中处理JPEG APP12标记时,会出现边界检查不足的问题,攻击者通过恶意制作无效JPEG输入越界访问内存。
CVE-2019-11926GD扩展中处理来自JPEG头文件M_SOFx标记时,出现边界检查不足的问题,攻击者通过恶意制作无效JPEG输入越界访问内存。
影响版本及解决
这两个漏洞影响的HHVM版本较多,包括如下版本:

  • 3.30.9之前的所有HHVM版本

  • 4.0.0和4.8.3之间的所有版本

  • 4.9.04.15.2之间的所有版本

  • 4.16.04.16.3版本

  • 4.17 .0到4.17.2版本

  • 4.18.0到4.18.1版本

  • 4.19.0版本

  • 4.20.04.20.1版本

目前,Facebook已经修复了这两个漏洞,HHVM团队发布了HHVM版本4.21.0、4.20.2、4.19.1、4.18.2、4.17.3、4.16.4、4.15.3、4.8.4和3.30.10。
如果您的网站或服务器也使用HHVM,强烈建议您将其更新到软件的最新版本。
*本文由看雪编辑 LYA 编译自 The Hacker News,转载请注明来源及作者。

推荐文章++++

预警!微软远程桌面高危漏洞(CVE-2019-0708)已公开,请立即修复!

某中国公司生产的超60万GPS跟踪器存在漏洞,可暴露用户实时位置

最新 | 微软宣布推出 Windows 10 首款PowerToys预览版,你下载了吗?

* 维基百科遭DDoS攻击,宕机多个小时,多国受影响

* 世界上最好的语言PHP 爆出高危漏洞:你信吗?



公众号ID:ikanxue
官方微博:看雪安全
商务合作:[email protected]
“阅读原文”一起来充电吧!

文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458298760&idx=3&sn=c408e7a989dc52a2b4921ffe0d508536&chksm=b181990286f61014123c989bed13e43a6617c896cb4ee13cce238f4b06508a692e7ee3e96173#rd
如有侵权请联系:admin#unsafe.sh