Facebook已修復(fù)了Instagram中的一個嚴(yán)重的遠(yuǎn)程執(zhí)行代碼漏洞，該漏洞可能導(dǎo)致智能手機攝像頭，麥克風(fēng)等被劫持。

該漏洞由Check Point發(fā)現(xiàn)，稱為 CVE-2020-1895，是Instagram圖像處理中的大堆溢出問題，其CVSS評分為7.8。Facebook表示：“當(dāng)上傳特制尺寸的圖像時，Android版Instagram可能會發(fā)生大堆溢出。這會影響128.0.0.26.128之前的版本”。

攻擊者可以通過電子郵件，WhatsApp，SMS或任何其他通信平臺向受害者發(fā)送虛構(gòu)的惡意圖像，然后將其保存到受害者的設(shè)備中觸發(fā)漏洞。隨后，打開Instagram時，即可在設(shè)備上執(zhí)行惡意代碼。

該漏洞與Instagram如何使用第三方庫進(jìn)行圖像處理有關(guān)，特別是開源JPEG解碼器Mozjpeg。研究人員還發(fā)現(xiàn)，解析JPEG圖像時處理圖像大小的函數(shù)存在缺陷，并在解壓縮過程中導(dǎo)致內(nèi)存溢出。Check Point專家解釋說，使用大于2 ^ 32字節(jié)的圖像可以觸發(fā)此問題。

攻擊者可能能夠“竊取” Instagram的執(zhí)行流程，并在其上下文和權(quán)限內(nèi)獲取代碼執(zhí)行。惡意代碼可能允許黑客訪問設(shè)備的電話聯(lián)系人，相機，GPS數(shù)據(jù)和存儲在設(shè)備中的文件。該漏洞還可能允許截取直接消息，未經(jīng)許可刪除或發(fā)布照片以及更改帳戶設(shè)置。

“在最基本的層面上，利用漏洞可以使用戶的Instagram應(yīng)用崩潰，拒絕他們訪問該應(yīng)用，直到他們從設(shè)備中刪除該應(yīng)用并重新安裝它為止，從而造成不便和數(shù)據(jù)丟失，” Check Point總結(jié)道。

題圖來源：圖片由Maria Raquel在Pixabay上發(fā)布 

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:securityaffairs

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明