უსაფრთხოების მკვლევარმა Elazar Broad-მა აღმოაჩინა კიდევ ერთი დაუცველობა Facebook-ის Aurigma ImageUloader-ის კონტროლში. და ეს დაუცველობა გროვდება.
უსაფრთხოების მკვლევარმა Elazar Broad-მა აღმოაჩინა კიდევ ერთი დაუცველობა Facebook-ის Aurigma ImageUloader-ის კონტროლში.
და ეს დაუცველობა გროვდება. საკონსულტაციოში კვირას სრული გამჟღავნების ელ.ფოსტის სიაში, ბრაუდმა დაწერა:
კონტროლი დაუცველია სტეკზე დაფუძნებული ბუფერული გადინების მიმართ. ExtractExif და ExtractIptc თვისებები. იხილეთ ექსპლოიტის კოდი. ბუფერული ოფსეტები. სხვა თვისებები შეიძლება ასევე იყოს დაუცველი DoS-ის მიმართ. და/ან კოდის შესრულება.
კონტროლი, დისტრიბუციული Aurigma Imaging Technology-ის მიერ, მოიცავს: FaceBook PhotoUloader 4.5.57.0, Aurigma ImageUploader4 4.6.17.0, Aurigma ImageUploader4 4.5.70.0, Aurigma ImageUploader4 4.5.126.0 და Aurigma ImageUloader5 5.0.10.0. რაც მთავარია, FaceBook PhotoUloader 4.5.57.1 არ არის დაუცველი, ამიტომ განაახლეთ პრონტო.
ბროდმა აღნიშნა, რომ უახლესი ხარვეზი განსხვავებულია, ვიდრე ფოტოების ამტვირთველის საკითხები
მან გასულ კვირას დაამტკიცა გავლენას ახდენს Facebook-სა და MySpace-ზე. გასულ კვირას Broad-მა მონიშნა ActiveX ფოტო ამტვირთავი ხელსაწყოები, რომლებიც ავრცელებს Aurigma Imaging Technology-ს. ამ თავდასხმებმა შეიძლება გაყალბებულ ვებ გვერდებს დაუშვან ვინდოუსის სისტემები.აქ არის ორი გამოსწორება. შეგიძლიათ გამორთოთ ზემოხსენებულ ხარვეზებში ჩართული ამტვირთველი ხელსაწყოები ან გამორთოთ ActiveX კომპონენტები. აქ არის Microsoft-ის მიმოხილვა. იმის გათვალისწინებით, თუ როგორ ჩნდება ეს დაუცველობა სწრაფი კლიპის დროს, შეიძლება უბრალოდ გსურთ ActiveX-ის გამორთვა.