Facebook淡化涉嫌在其社交网站的漏洞,该漏洞可能允许黑客在Facebook发送给任何人潜在的恶意文件。
这个问题涉及Facebook的功能,允许用户发送另一个用户是不是他们的朋友的消息以及作为附件。Facebook禁止发送的可执行文件,但安全渗透测试找到了一种方法来规避过滤器。
Nathan Power是做技术顾问CDW的工作,在他的博客中写道,Facebook的解析POST请求到服务器,如果要发送的文件应允许一部分。
Facebook警告:如果可执行附加,它不能被发送。但可以通过修改后的要求,特别要发送的文件名后的一个额外的空间,一个可执行附加。这构成了危险,因为它可以让黑客发送,例如,一个键盘记录程序的矛钓鱼的一种附加到另一个用户。受害人打开并运行该文件,然后将需要被说服。
Facebook安全经理Ryan McGeehan在一份声明中写道,一个成功的攻击需要“社会工程的附加层。” 它也只允许攻击者发送一次混淆重命名的文件到另一个Facebook的用户之一。
McGeehan写道:“Facebook没有单纯依靠文件识别它所声称要保护用户的名称,但还没有一个扫描文件的安全性,所以我们在这种矢量深度防御。Webmail提供商面临着相同的恶意附件和问题,是一个非常小的一部分,整体保护我们如何对这种威胁。在这一天结束,这是一个坏家伙躲在一个URL缩短,这是一件好事,我们已经处理了,而一个有说服力的登陆页面上。”