Facebookは、HHVMサーバーソフトウェアを更新して、悪用される可能性を排除したと発表しました。. 同社は、2つの重大なバグがその中に資金を供給していると発表しました. この脆弱性により、ハッカーは悪意のあるJPEG画像をアップロードすることにより、機密データを取得したり、サービス拒否攻撃を引き起こしたりする可能性があります。.
Facebookは、HHVMサーバーソフトウェアで特定された2つの重大なエラーを修正することにより、HHVMサーバーソフトウェアを更新しました。. これらのバグは次のように評価されます “致命的” ソーシャルネットワークによって、JPEG処理エンジンを利用することによって. 犯罪者は、サービス拒否やデータの盗難につながる可能性のある危険な画像ファイルを作成できることを発見しました。. 問題はHHVMエンジン内にあります, の略 HipHop仮想マシン Facebookが開発したサービスです. その目的は、ハックおよびPHPプログラミング言語で記述されたプログラムを高性能モードで実行することです。. そのコードはオープンソースであり、独自のポータルにそれを使用する他のプラットフォームを意味します.
例は次のとおりです ウィキペディア と 箱 同じ画像アップロードスキームも共有します. 脆弱性の原因は、 メモリオーバーフロー 拡張機能の1つで. 画像処理の結果は、いわゆる 立入禁止で —これは誤動作しているプログラムを意味します (HHVMの場合) 割り当てられたメモリの外部からデータを読み取ることができます. 弱点の結果として、問題は以下の勧告に分類されました:
- CVE-2019-11925 —GD拡張機能でJPEGAPP12ブロックマーカーを処理するときに、不十分な境界チェックの問題が発生します, 潜在的な攻撃者が悪意を持って作成された無効なJPEG入力を介して範囲外のメモリにアクセスできるようにする.
- CVE-2019-11926 —GD拡張機能のJPEGヘッダーからM_SOFxマーカーを処理するときに不十分な境界チェックの問題が発生します, 潜在的な攻撃者が悪意を持って作成された無効なJPEG入力を介して範囲外のメモリにアクセスできるようにする.
HHVMサービスを使用するすべてのサービスは、インストールを最新バージョンに更新することをお勧めします.