Facebook已经修补了Instagram中的一个关键漏洞,该漏洞可能导致远程代码执行以及智能手机摄像头、麦克风等被劫持。
通过Check Point私下向Instagram的所有者Facebook披露,该安全漏洞被描述为“Instagram图像处理中的一个严重漏洞。”
跟踪为CVE-2020-1895并给出了7.8的CVSS分数,Facebook的安全顾问说该漏洞是一个堆溢出问题。
”Instagram for Android在尝试使用精心设计的尺寸。这会影响128.0.0.26.128之前的版本,“的咨询说。
无论图像是本地保存还是手动保存,只需在之后打开Instagram就足以执行恶意代码。
问题在于Instagram如何处理用于图像处理的第三方库。特别是,检查点集中在Mozilla开发的开放源代码JPEG解码器,Instagram未正确使用它来处理图像上传。
精心制作的图像文件可以包含该团队称,为了利用Instagram在移动设备上的广泛权限列表,允许访问“Instagram预先允许的手机中的任何资源”https://www.cnet.com/news/twitter-faces-class-action-privacy-course-for-sharing-security-info-with-广告客户/?ftag=CMG-01-10aaa1b“target=”nu blank“rel=”noopener noreferrer“data component=”externalLink“>Twitter因与广告商共享安全信息而面临集体诉讼,这可能包括访问设备的电话联系人、位置/GPS数据、摄像头和本地存储的文件。在Instagram应用程序本身,RCE漏洞还可用于拦截和读取直接消息;未经许可删除或发布照片,或更改帐户设置。
“在最基本的层面上,利用该漏洞可使用户的Instagram应用程序崩溃,Check Point补充道:“在他们从设备中删除并重新安装之前,拒绝他们访问应用程序,这会造成不便和可能的数据丢失。”。
技术共和国:如何创建安全用户名
该漏洞的记录是在私密披露6个月后进行的,目的是让大多数手机用户有时间接受安全更新并降低利用漏洞的风险。
“我们已经修复了并没有看到任何虐待的证据我们非常感谢Check Point在保证Instagram安全方面的帮助。“
有什么建议吗?通过WhatsApp |信号安全联系,电话:+447713 025 499,或访问Keybase:charlie0
