Facebook已修复了Instagram中的一个严重的远程执行代码漏洞,该漏洞可能导致智能手机摄像头,麦克风等被劫持。
该漏洞由Check Point发现,称为 CVE-2020-1895,是Instagram图像处理中的大堆溢出问题,其CVSS评分为7.8。Facebook表示:“当上传特制尺寸的图像时,Android版Instagram可能会发生大堆溢出。这会影响128.0.0.26.128之前的版本”。
攻击者可以通过电子邮件,WhatsApp,SMS或任何其他通信平台向受害者发送虚构的恶意图像,然后将其保存到受害者的设备中触发漏洞。随后,打开Instagram时,即可在设备上执行恶意代码。
该漏洞与Instagram如何使用第三方库进行图像处理有关,特别是开源JPEG解码器Mozjpeg。研究人员还发现,解析JPEG图像时处理图像大小的函数存在缺陷,并在解压缩过程中导致内存溢出。Check Point专家解释说,使用大于2 ^ 32字节的图像可以触发此问题。
攻击者可能能够“窃取” Instagram的执行流程,并在其上下文和权限内获取代码执行。恶意代码可能允许黑客访问设备的电话联系人,相机,GPS数据和存储在设备中的文件。该漏洞还可能允许截取直接消息,未经许可删除或发布照片以及更改帐户设置。
“在最基本的层面上,利用漏洞可以使用户的Instagram应用崩溃,拒绝他们访问该应用,直到他们从设备中删除该应用并重新安装它为止,从而造成不便和数据丢失,” Check Point总结道。
题图来源:图片由Maria Raquel在Pixabay上发布
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:securityaffairs
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照