Facebook 服务器现高危漏洞,JPEG图像可导致数据泄露

访客4年前黑客工具1089

234S53I6-0.jpg

社交 *** 巨头Facebook,是人们分享生活、联系交流的重要平台。

作为更大的照片分享站点,Facebook每天上传的照片高达上亿张。

然而这些上传的JPEG图像文件也有可能成为攻击者的利器。

Facebook的HHVM出现漏洞

早前,Facebook服务器中发现了两个高危漏洞,恶意攻击者会利用这些漏洞远程上传JPEG图像文件,以此来获取用户的敏感信息或者直接导致拒绝服务。

这些漏洞存在于HHVM(HipHop Virtual Machine)中。

HHVM是Facebook开发的高性能开源虚拟机,用于执行用PHP和Hack编程语言编写的程序。HHVM使用一种即时(JIT)编译器在实现Hack和PHP代码的卓越性能的同时保持PHP语言提供的开发灵活性。

由于受影响的HHVM服务器应用程序是开源且免费的,因此这两个问题也可能影响使用HHVM的其他网站,包括Wikipedia,Box,尤其是那些允许其用户在服务器上上传图片的网站。

下面列出的这两个漏洞,当传入一个特定的无效JPEG输入时,HHVM的GD扩展中可能存在内存溢出,从而导致越界读取,这也就使得恶意程序能够读取来自分配内存范围之外的数据。

CVE-2019-11925:在GD扩展中处理JPEG APP12标记时,会出现边界检查不足的问题,攻击者通过恶意 *** 无效JPEG输入越界访问内存。

CVE-2019-11926:在GD扩展中处理来自JPEG头文件的M_SOFx标记时,会出现边界检查不足的问题,攻击者通过恶意 *** 无效JPEG输入越界访问内存。

影响版本及解决

这两个漏洞影响的HHVM版本较多,包括如下版本:

  • 3.30.9之前的所有HHVM版本
  • 4.0.0和4.8.3之间的所有版本
  • 4.9.0和4.15.2之间的所有版本
  • 4.16.0到4.16.3版本
  • 4.17 .0到4.17.2版本
  • 4.18.0到4.18.1版本
  • 4.19.0版本
  • 4.20.0到4.20.1版本

目前,Facebook已经修复了这两个漏洞,HHVM团队发布了HHVM版本4.21.0、4.20.2、4.19.1、4.18.2、4.17.3、4.16.4、4.15.3、4.8.4和3.30.10。

如果您的网站或服务器也使用HHVM,强烈建议您将其更新到软件的最新版本。

标签: 腾讯科技

相关文章

只有微信怎么定位找人

只有微信怎么定位找人

一 : aspmaker如何实现超级管理员与普通管理员登陆后台   后台管理员是网站后台必不可少的一个环节,如何使用aspmaker实现超级管理与普通管理员登陆后台。下面就详细讲解一下。...

怎么看别人微信聊天记录的方法

随之大家衣食住行水准的不断提高,人们会见到玩手机的利用率是十分普遍的,而且在应用的流程中,能够合理地树立许多的功效。人们在应用笔记本的当时,假如可以更为的合理性应用,那麼还要提升它的应用期限。而且可以...

除了wifi暴力破解还有其他方法?

自己宽带被别人占满,你可能查看是否被人连接后去改密码...

热点ZAO爆红后致歉,AI换脸上演一出好戏

热点ZAO爆红后致歉,AI换脸上演一出好戏

“仅需一张照片,出演天下好戏。” 只需要8秒,你就能够在电影,MV或电视节目中与最喜欢的演员一同出演。 似乎开心得太早了,8秒的兴奋过后是无数的问题。 你想演电影吗? 就在上周末,一款由陌...

赌徒们,输掉身上最后一块钱的你,哭了吗?

赌徒们,输掉身上最后一块钱的你,哭了吗?

“风景旧曾谙,怎添无数离合悲欢”,我想这句话,说出了多少赌徒的血泪心声啊。如果一切能回到过去,你一定不会让自己陷入如此这般境地;如果一切能回到过去,你也一定不会让父母望着你的背影暗暗哭泣;如果一切能回...

工信部就“ZAO”App网络数据安全问题开展问询约谈

据移动支付网了解,继“ZAO”官方发布声明之后,工信部对陌陌相关负责人进行了问询约谈,要求其严格按照国家法律法规以及相关主管部门要求,组织开展自查整改,依法依规收集使用用户个人信息,规范协议条款,强化...