Facebook heeft aangekondigd dat ze hun HHVM server software die de mogelijkheid van het niet langer kunnen worden benut hebt bijgewerkt. Het bedrijf kondigde aan dat twee kritische bugs waren fonds erin. De kwetsbaarheid kan de hackers om gevoelige gegevens te verkrijgen of veroorzaken deze aanvallen door het een kwaadwillende JPEG uploaden.
Facebook heeft hun HHVM server software bijgewerkt door de vaststelling van twee kritieke fouten die zijn geïdentificeerd daarin. Deze bugs zijn beoordeeld als “kritisch” door het sociale netwerk en betreffen het feit dat door het benutten van de JPEG processing engine. De criminelen hebben ontdekt dat ze gevaarlijk zijn image-bestanden die kunnen worden gebruikt om te leiden tot een denial of service of diefstal van gegevens kunnen construeren. Het probleem ligt binnen de HHVM motor, kort voor HipHop Virtual Machine dat is de dienst die is ontwikkeld door Facebook. Het doel is om programma's geschreven in de Hack en PHP programmeertalen in een high-performance-modus uit te voeren. De code is open-source betekent dat andere platforms die het gebruiken voor hun eigen portals.
Voorbeelden zijn Wikipedia en Doos die ook delen dezelfde afbeelding uploaden regelingen. De oorsprong van de kwetsbaarheden worden geacht te worden veroorzaakt door een geheugenoverloop in één van de verlengingen. Het resultaat van het beeld processen zal leiden tot een zogenaamde out-of-bounds - dit betekent dat de storing programma (bij HHVM) kan gegevens lezen van buiten het toegewezen geheugen. Als gevolg van de zwakte van de problemen zijn ingedeeld in de volgende adviezen:
- CVE-2019-11.925 - onvoldoende grenscontrole problemen optreden bij het verwerken van de JPEG APP12 blokmarkering de GD extensie, waardoor potentiële aanvallers om buiten de grenzen geheugen via een kwaadaardige ongeldige invoer JPEG.
- CVE-2019-11.926 - onvoldoende grenscontrole problemen optreden bij het verwerken M_SOFx markers van JPEG headers in de GD extensie, waardoor potentiële aanvallers om buiten de grenzen geheugen via een kwaadaardige ongeldige invoer JPEG.
Alle diensten die de HHVM dienst worden aangespoord om hun installaties naar de nieuwste versie.