Изследовател открива пролука във Facebook

Тестер за пробиви в сигурността откри пролука във Facebook, която позволява да се пращат зловредни програми на всеки, ползващ сайта. Нейтън Пауър, старши тестер за пробиви в сигурността за консултантите CDW, откри уязвимостта и я обяви публично в четвъртък на своя блог. Facebook са били осведомени за пролуката на 30 септември и са потвърдили проблема в сряда, пише Пауър. Пауър също така пише, че Facebook нормално не позволява да се пращат изпълними прикачени файлове като съобщения. При опит за пращане се отговаря с грешка за неправилен тип файл. Пауър открил, че анализ на POST заявката, пратена от браузъра до Facebook, показва, че променливата, наречена „filename“, проверява дали файлът трябва да се допусне. Но модифициране на POST заявката — слагане на интервал след името на файла — ще разреши прикачването на изпълним файл към съобщението. Изпращачът няма нужда да е в списъкът с приятели на получателя, тъй като Facebook разрешава свободното пращане на съобщения. Така хакерите могат да използват социално инженерство, за да подтикнат получателя да отвори получения файл, който потенциално може да зарази компютъра им със зловреден софтуер.

Прочети цялата новина

Свързани новини: