Facebook淡化(huà)涉嫌在其社交網站的(de)漏洞,該漏洞可(kě)能允許黑(hēi)客在Facebook發送給任何人(rén)潛在的(de)惡意文件。
這(zhè)個(gè)問題涉及Facebook的(de)功能,允許用(yòng)戶發送另一個(gè)用(yòng)戶是不是他(tā)們的(de)朋友的(de)消息以及作爲附件。Facebook禁止發送的(de)可(kě)執行文件,但安全滲透測試找到了(le)一種方法來(lái)規避過濾器。
Nathan Power是做(zuò)技術顧問CDW的(de)工作,在他(tā)的(de)博客中寫道,Facebook的(de)解析POST請求到服務器,如果要發送的(de)文件應允許一部分(fēn)。
Facebook警告:如果可(kě)執行附加,它不能被發送。但可(kě)以通(tōng)過修改後的(de)要求,特别要發送的(de)文件名後的(de)一個(gè)額外的(de)空間,一個(gè)可(kě)執行附加。這(zhè)構成了(le)危險,因爲它可(kě)以讓黑(hēi)客發送,例如,一個(gè)鍵盤記錄程序的(de)矛釣魚的(de)一種附加到另一個(gè)用(yòng)戶。受害人(rén)打開并運行該文件,然後将需要被說服。
Facebook安全經理(lǐ)Ryan McGeehan在一份聲明(míng)中寫道,一個(gè)成功的(de)攻擊需要“社會工程的(de)附加層。” 它也(yě)隻允許攻擊者發送一次混淆重命名的(de)文件到另一個(gè)Facebook的(de)用(yòng)戶之一。
McGeehan寫道:“Facebook沒有單純依靠文件識别它所聲稱要保護用(yòng)戶的(de)名稱,但還(hái)沒有一個(gè)掃描文件的(de)安全性,所以我們在這(zhè)種矢量深度防禦。Webmail提供商面臨著(zhe)相同的(de)惡意附件和(hé)問題,是一個(gè)非常小的(de)一部分(fēn),整體保護我們如何對(duì)這(zhè)種威脅。在這(zhè)一天結束,這(zhè)是一個(gè)壞家夥躲在一個(gè)URL縮短,這(zhè)是一件好事,我們已經處理(lǐ)了(le),而一個(gè)有說服力的(de)登陸頁面上。”
