Facebook已修復了Instagram中的一個嚴重的遠程執行代碼漏洞,該漏洞可能導致智能手機攝像頭,麥克風等被劫持。
該漏洞由Check Point發現,稱為 CVE-2020-1895,是Instagram圖像處理中的大堆溢出問題,其CVSS評分為7.8。Facebook表示:“當上傳特制尺寸的圖像時,Android版Instagram可能會發生大堆溢出。這會影響128.0.0.26.128之前的版本”。
攻擊者可以通過電子郵件,WhatsApp,SMS或任何其他通信平臺向受害者發送虛構的惡意圖像,然后將其保存到受害者的設備中觸發漏洞。隨后,打開Instagram時,即可在設備上執行惡意代碼。
該漏洞與Instagram如何使用第三方庫進行圖像處理有關,特別是開源JPEG解碼器Mozjpeg。研究人員還發現,解析JPEG圖像時處理圖像大小的函數存在缺陷,并在解壓縮過程中導致內存溢出。Check Point專家解釋說,使用大于2 ^ 32字節的圖像可以觸發此問題。
攻擊者可能能夠“竊取” Instagram的執行流程,并在其上下文和權限內獲取代碼執行。惡意代碼可能允許黑客訪問設備的電話聯系人,相機,GPS數據和存儲在設備中的文件。該漏洞還可能允許截取直接消息,未經許可刪除或發布照片以及更改帳戶設置。
“在最基本的層面上,利用漏洞可以使用戶的Instagram應用崩潰,拒絕他們訪問該應用,直到他們從設備中刪除該應用并重新安裝它為止,從而造成不便和數據丟失,” Check Point總結道。
題圖來源:圖片由Maria Raquel在Pixabay上發布
及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統
本文來源:securityaffairs
如涉及侵權,請及時與我們聯系,我們會在第一時間刪除或處理侵權內容。
電話:400-869-9193 負責人:張明