【越位陷阱】Facebook自爆上傳JPEG漏洞
大部分人用社交網站,都係不停 post 相 post 片,你睇 Apple iPhone 11 系列嘅賣點集中晒喺影相功能上面,就知影相同分享相、片係幾咁重要。而作為社交平台龍頭大佬嘅 Facebook,每日用戶上傳嘅相閒閒地都超過一億,但原來早前喺 Facebook 自家開發嘅 HHVM(HipHop Virtual Machine)開源虛擬機器上,就存在住兩個上傳相片嘅漏洞,黑客可以透過上傳一張帶有惡意內容嘅 JPEG 相,令系統出現記憶區溢位(memory overflow),從而達成越位讀取記憶區數據,又或發生阻斷服務情況。
Facebook 自家開發嘅 HHVM 係高性能嘅開源虛擬機器,透過 JIT 即時編譯器去執行用 PHP 或 Hack 語言編寫嘅程式。除咗 Facebook 自己用,亦公開免費俾其他網站使用,例如 Wikipedia、Box 等准許用戶上傳相片嘅網站。當 Facebook 伺服器經 HHVM 收到一個上傳而又無效嘅 JPEG 檔,就有可能喺 HHVM 嘅 GD Extension 內引發記憶體溢出問題,令黑客可以執行越界讀取,攞到內存記憶體範圍之外嘅數據等問題。
Facebook 喺公佈呢兩個漏洞時,已經為伺服器完成修補,不過,對採用咗 HHVM 嘅網站嚟講,就要留意以下呢啲受影響版本,盡快更新系統喇。
受影響版本
3.30.9之前的所有HHVM版本
4.0.0和4.8.3之间的所有版本
4.9.0和4.15.2之间的所有版本
4.16.0到4.16.3版本
4.17 .0到4.17.2版本
4.18.0到4.18.1版本
4.19.0版本
4.20.0到4.20.1版本