Facebook 修復 Instagram 嚴重漏洞,可導致駭侵者遠端執行任意程式碼,並挾持用戶手機.png

Facebook 近日針對於四月初發現的 Instagram 嚴重資安漏洞發表修補新版;這個漏洞可導致用戶的手機遭駭侵者遠端執行任意程式碼,並且挾持手機中的相機、麥克風等裝置。

資安廠商 Check Point 是在今年四月初時發現這個漏洞,並提報給 Facebook;該漏洞編號為 CVE-2020-1895,主要發生於 Instagram 進行影像處理時的錯誤。駭侵者可以利用一張特製的影像檔案,透過簡訊、WhatsApp 或其他任何方法傳給受害者,當受害者收到這張影像檔案並儲存於手機後,再開啟 Instagram,就能執行惡意程式碼。

Check Point 指出,這個漏洞出在 Instagram 使用的第三方影像處理程式庫 Mozjpeg,這是一個由 Mozilla 開發的開源 JPEG 解碼器;由於 Instagram 使用這個程式庫的方法不當,造成駭侵者可使用特製影像檔案,直接利用 Instagram 向使用者要求的多種系統權限,包括存取用戶手機上的通訊錄、GPS 座標資訊、攝影機與本機檔案系統等;駭侵者也能讀取用戶透過 Instagram 傳送的私訊,並且擅自張貼或刪除貼文,甚至竄改系統設定。

這個漏洞的 CVSS 危險程度評分高達 7.8 分,屬於高危險程度。

Check Point 發現此漏洞後,隨即秘密向 Facebook 提報;Facebook 於日前修復並發行更新版本;Facebook 也表示並未發現這個漏洞被濫用的跡象。用戶只要將 Instagram 更新至 128.0.0.26.128 後版本即可。

  • CVE編號:CVE-2020-1895
  • 影響產品/版本:Instagram 128.0.0.26.128 之前版本
  • 解決方案:將 Instagram App 更新至 128.0.0.26.128 之後版本
  • 參考連結

https://research.checkpoint.com/2020/instagram_rce-code-execution-vulnerability-in-instagram-app-for-android-and-ios/

https://m.facebook.com/security/advisories/cve-2020-1895

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1895

https://nvd.nist.gov/vuln/detail/CVE-2020-1895

arrow
arrow
    文章標籤
    TWCERTCC TWCERT 台灣電腦網路危機處理暨協調中心 Facebook Instagram 漏洞 手機 Mozjpeg 影像處理
    全站熱搜

    twcert 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄