显然Facebook已经固定后坚持在其社交网站的一个漏洞,它不是一个弱点,并没有需要予以纠正。
Facebook解析一个POST请求到服务器,如果要发送的文件应允许的一部分。通常情况下,可执行文件将被拒绝。
如果他修改一个额外的空间,附件的文件名后的POST请求,它会经过。如果受害人接受该文件,该人仍需要推出为了要安装的恶意软件。
危险的是,Facebook的可用于所谓的鱼叉式网络钓鱼,或有针对性的攻击受害者的机器上加载恶意软件的意图。攻击的风格已成功对公司,如RSA SecurID身份验证相关的信息泄露和3月披露的问题。
至少有一个国防承包商随后被袭击后,RSA的违反。 Facebook的安全管理器,Ryan McGeehan,上周在一份声明中说,一个成功的攻击利用的漏洞,将需要社会工程,也将只允许攻击者发送一次混淆重命名的文件到另一个用户。Facebook本周继续坚持一个修复是没有必要的。