Facebook ha anunciado que han actualizado su software de servidor HHVM que elimina la posibilidad de que pueda ser explotada. La compañía anunció que dos errores críticos estaban fondo en ella. Las vulnerabilidades permiten a los hackers para obtener datos sensibles o causar una denegación de servicio mediante la carga de una imagen JPEG malicioso.
Facebook ha actualizado su software de servidor HHVM mediante la fijación de dos errores críticos que se han identificado en ella. Estos errores se clasifican como “crítico” por la red social y preocupación el hecho de que al explotar el motor de procesamiento de JPEG. Los delincuentes han descubierto que pueden construir archivos de imagen peligrosos que pueden ser utilizados para llevar a la denegación de servicio o el robo de datos. El problema radica en el motor de HHVM, corto para HipHop Virtual Machine que es el servicio que ha sido desarrollado por Facebook. Su propósito es ejecutar programas escritos en los lenguajes de programación PHP y Hack en un modo de alto rendimiento. Su código es de código abierto lo que significa que otras plataformas que utilizan para sus propios portales.
Ejemplos de ello son Wikipedia y Caja que también comparten los mismos esquemas de carga de imágenes. Los orígenes de las vulnerabilidades se presume que es causada por una desbordamiento de la memoria en una de las extensiones. El resultado de los procesos de imágenes dará lugar a una llamada fuera de los límites - esto significa que el programa funciona correctamente (en el caso de HHVM) pueden leer datos desde fuera de la memoria asignada. Como resultado de la debilidad de los problemas se han clasificado en los siguientes avisos:
- CVE-2019 a 11925 - cuestiones de verificación insuficiente de los límites se producen cuando se procesa el marcador APP12 bloque JPEG en la extensión GD, permitiendo a los atacantes potenciales para el acceso fuera de los límites de memoria a través de una entrada no válida JPEG malintencionada.
- CVE-2.019-11.926 - cuestiones de verificación insuficiente de los límites se producen cuando se procesan los marcadores M_SOFx de cabeceras JPEG en la extensión GD, permitiendo a los atacantes potenciales para el acceso fuera de los límites de memoria a través de una entrada no válida JPEG malintencionada.
Todos los servicios que utilizan el servicio HHVM Se insta a actualizar sus instalaciones a la última versión.