顯然Facebook已經固定後堅持在其社交網站的(de)一個(gè)漏洞,它不是一個(gè)弱點,并沒有需要予以糾正。
Facebook解析一個(gè)POST請求到服務器,如果要發送的(de)文件應允許的(de)一部分(fēn)。通(tōng)常情況下(xià),可(kě)執行文件将被拒絕。
如果他(tā)修改一個(gè)額外的(de)空間,附件的(de)文件名後的(de)POST請求,它會經過。如果受害人(rén)接受該文件,該人(rén)仍需要推出爲了(le)要安裝的(de)惡意軟件。
危險的(de)是,Facebook的(de)可(kě)用(yòng)于所謂的(de)魚叉式網絡釣魚,或有針對(duì)性的(de)攻擊受害者的(de)機器上加載惡意軟件的(de)意圖。攻擊的(de)風格已成功對(duì)公司,如RSA SecurID身份驗證相關的(de)信息洩露和(hé)3月(yuè)披露的(de)問題。
至少有一個(gè)國防承包商随後被襲擊後,RSA的(de)違反。 Facebook的(de)安全管理(lǐ)器,Ryan McGeehan,上周在一份聲明(míng)中說,一個(gè)成功的(de)攻擊利用(yòng)的(de)漏洞,将需要社會工程,也(yě)将隻允許攻擊者發送一次混淆重命名的(de)文件到另一個(gè)用(yòng)戶。Facebook本周繼續堅持一個(gè)修複是沒有必要的(de)。
