Facebook a annoncé qu'ils ont mis à jour leur logiciel de serveur HHVM qui supprime la possibilité de celui-ci à exploiter. La société a annoncé que deux bugs critiques ont été fonds il. Les vulnérabilités permettent aux pirates d'obtenir des données sensibles ou causer un déni de service attaque en téléchargeant une image JPEG illicite.
Facebook a mis à jour son logiciel serveur HHVM en fixant deux erreurs critiques qui ont été identifiées dans ce. Ces bugs sont classés comme “critique” par le réseau social et le souci du fait que, en exploitant le moteur de traitement JPEG. Les criminels ont découvert qu'ils peuvent construire des fichiers d'images dangereuses qui peuvent être utilisés pour conduire à un déni de service ou le vol de données. Le problème réside dans le moteur HHVM, court pour HipHop Virtual Machine qui est le service qui a été développé par Facebook. Son but est d'exécuter des programmes écrits dans les langages de programmation Hack et PHP en mode haute performance. Son code est open source ce qui signifie que d'autres plates-formes qui l'utilisent pour leurs propres portails.
Les exemples sont Wikipedia et Boîte qui partagent également les mêmes schémas de téléchargement d'images. Les origines des vulnérabilités sont présumés être causés par un débordement de mémoire dans l'une des extensions. Le résultat des processus d'image conduira à une soi-disant hors limites - cela signifie que le programme fonctionne mal (dans le cas de HHVM) peut lire les données à partir de l'extérieur de la mémoire allouée. En raison de la faiblesse des problèmes ont été classés dans les avis suivants:
- CVE-2019-11925 - les questions de contrôle des frontières insuffisante se produisent lors du traitement du bloc marqueur JPEG APP12 dans l'extension GD, permettant attaquants potentiels d'accéder à l'extérieur de la limite de mémoire par l'intermédiaire d'une entrée invalide JPEG malveillante.
- CVE-2019-11926 - les questions de contrôle des frontières insuffisante se produisent lors du traitement des marqueurs M_SOFx des en-têtes JPEG dans l'extension GD, permettant attaquants potentiels d'accéder à l'extérieur de la limite de mémoire par l'intermédiaire d'une entrée invalide JPEG malveillante.
Tous les services qui utilisent le service HHVM sont invités à mettre à jour leurs installations à la dernière version.