الأحد، 30 أكتوبر 2011

الكشف عن ثغرة في موقع الفيس بوك تمكن المهاجم من رفع ملف تنفيذي


كشف مؤخرا موقع سكيورتي بنتست ، عن ثغرة خطيرة في موقع الفيسبوك ، هذه الاخيرة التي يمكن ان تشكل كذلك خطورة على مستخدمي
 . 
الفيسبوك خصوصا اجهزة المستخدمين ، حيث ان الثغرة تمكن المهاجم من القيام برفع ملف تنفيذي ونشره على بروفايله
فكلنا نعلم انه يمكن ان ننشر فيديوهات ، وصور على حائط الفيسبوك ، لكن لايمكن ان تقوم برفع ملف تنفيذي كبرنامج
.
 على سبيل المثال ، ذلك لأنه عند تحميل برنامج ستضهرلك نافذة تخبرك انه ممنوع رفع مثل هذه الملفات  
الثغرة تكمن في  تغير سطر إرسال البينات عبر إضافة مساحة فارغة امام اسم الملف التنفيذي ليصبح على هذا الشكل
Content-Disposition: form-data; name="attachment"; filename="cmd.exe "
وهكذا يمكن للمهاجم إلحاق الملف التنفيذي في رسالته 

وتبقى للإشارة انه قد تم إبلاغ شركة الفيسبوك عن الثغرة يوم 09/30/2011 قبل ان يتم نشرها للعموم في  10/27/2011


ليست هناك تعليقات:

إرسال تعليق