Facebook hat angekündigt, dass sie ihre HHVM Server-Software aktualisiert haben, die die Möglichkeit es entfernt werden ausgebeutet. Das Unternehmen kündigte an, dass zwei kritische Fehler Fonds waren drin. Die Schwachstellen erlauben der Hacker sensible Daten zu erhalten oder eine Denial-of-Service-Angriff führt durch ein bösartiges JPEG-Bild hochladen.
Facebook hat ihre HHVM Server-Software aktualisiert durch zwei kritische Fehler behoben, die in ihm identifiziert wurden. Diese Fehler werden bewertet “kritisch” durch das soziale Netzwerk und beziehen sich auf die Tatsache, dass die JPEG-Verarbeitungsmaschine durch Ausnutzen. Die Kriminellen haben festgestellt, dass sie gefährlich Bilddateien erstellen können, die verwendet werden können, um Denial-of-Service oder Datendiebstahl zu führen. Das Problem liegt in dem HHVM Motor, kurz für HipHop Virtual Machine das ist der Dienst, der von Facebook entwickelt wurde. Sein Zweck ist es, Programme in dem Hack und PHP Programmiersprachen in einem High-Performance-Modus geschrieben auszuführen. Sein Code ist Open-Source, dass andere Plattformen was bedeutet, dass sie für ihre eigenen Portale nutzen.
Beispiele hierfür sind Wikipedia und Box die teilen auch dieselben Bild Hochladen Schemen. Die Ursprünge der Schwachstellen sind, vermutet wird durch ein verursacht werden Speicherüberlauf in einer der Erweiterungen. Das Ergebnis der Bildprozesse werden zu einem sogenannten führen außerhalb der Grenzen - dies bedeutet, dass das fehlerhafte Programm (im Fall von HHVM) können Daten von außerhalb des zugewiesenen Speicher gelesen. Als Folge der Schwäche haben die Probleme in den folgenden Advisories eingestuft:
- CVE-2019-11925 - unzureichende Überprüfung der Grenzen Probleme auftreten, wenn die APP12 Blockmarkierung in der GD Erweiterung JPEG-Verarbeitung, potentielle Angreifer ermöglichen out-of-bounds Speicher zuzugreifen über einen in böswilliger Absicht erstellten ungültigen JPEG-Eingang.
- CVE-2019-11926 - unzureichende Überprüfung der Grenzen Probleme auftreten, wenn M_SOFx Marker von JPEG-Header in der Verlängerung GD Verarbeitung, potentielle Angreifer ermöglichen out-of-bounds Speicher zuzugreifen über einen in böswilliger Absicht erstellten ungültigen JPEG-Eingang.
Alle Dienste, die den HHVM Dienst nutzen werden aufgefordert, ihre Anlagen auf die neueste Version zu aktualisieren.