[IT-компании, Информационная безопасность, Разработка мобильных приложений, Социальные сети и сообщества] В Instagram нашли уязвимость, связанную с обработкой изображений
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Специалисты компании Check Point рассказали о найденной в начале этого года серьезной уязвимости в мобильном приложении Instagram для iOS и Android. Злоумышленники могли с помощью уязвимости CVE-2020-1895 получить практически полный доступ к смартфону жертвы. Все что им было нужно для этого — отправить пользователю картинку с вредоносным кодом и специально созданными размерами. Далее штатный алгоритм обработки изображений приложения Instagram использовался для успешного проведения атаки, основанной на переполнении кучи/хипа (heap buffer overflow).
Уязвимость CVE-2020-1895 была обнаружена Check Point в начале этого года. Ей были подвержены версии приложения Instagram вплоть до 128.0.0.26.128.
Расследование Check Point с помощью фаззинга показало, что разработчики Instagram неправильно использовали сторонний инструмент MozJPEG (открытый декодер JPEG от Mozilla).
Оказалось, что в приложении Instagram код обработчика этого инструмента имел свои ограничения. В нем можно было вызвать целочисленное переполнение, если приложение пытается обработать и открыть изображение большего размера, считая его меньшим — ранее полученную и сохраненную пользователем на смартфон вредоносную картинку со специально заданными размерами.
Примечательно, что у злоумышленника было два варианта дальнейшей атаки после запуска вредоносного кода после использования уязвимости:
- получение информации со смартфона, включая просмотр и копирование контактов и сообщений, данных о местоположении пользователя и доступ к управлению камерой — все элементы и сервисы смартфона, к которым имело доступ приложение Instagram;
- вызов непрерывного сбоя приложения Instagram при запуске, после удаления и переустановки приложения через некоторое время сбой можно вызвать снова.
В феврале 2020 года специалисты Facebook выпустили новые версии мобильных приложений Instagram с патчем против уязвимости CVE-2020-1895.
В середине сентября 2020 года Microsoft выпустила новый автоматизированный инструмент для разработчиков — Project OneFuzz. Это фаззинг решение в настоящее время уже заменило сервис Microsoft Security Risk Detection Service. Исходные коды инструмента Project OneFuzz уже доступны на GitHub под лицензией MIT, включая документацию и примеры.
===========
Источник:
habr.com
===========
Похожие новости:
- [IT-компании, Видеоконференцсвязь] Google c 1 октября ограничит бесплатный доступ к сервису видеоконференций Google Meet для пользователей
- [Swift, Софт, IT-компании] Apple открыла исходные тексты Swift System и выложила Swift 5.3
- [Социальные сети и сообщества] Facebook, Twitter и YouTube объявляют войну контенту, содержащим Hate Speech
- [CTF, Информационная безопасность] Hack The Box. Прохождение Admirer. Уязвимость в Admirer и RCE через подмену переменной среды
- [IT-компании, Информационная безопасность, Разработка под Windows] Microsoft начала внутреннее расследование утечки исходных кодов Windows XP и Windows Server 2003
- [IT-компании, Разработка под iOS, Смартфоны] Facebook просит Apple разрешить пользователям менять мессенджер по умолчанию в iOS 14
- [Информационная безопасность, Видеотехника] Московскую систему распознавания лиц от NtechLab протестируют в регионах
- [Python, Asterisk, Социальные сети и сообщества, Flask] Реализация аудиоконференций в Telegram + Asterisk
- [Информационная безопасность, Карьера в IT-индустрии, Разработка мобильных приложений] Код ваш, призы наши – принимаем заявки на онлайн-хакатон «ВТБ More.Tech»
- [Законодательство в IT, Социальные сети и сообщества] TikTok рассказал об удалении видео по запросам властей, в том числе в России
Теги для поиска: #_itkompanii (IT-компании), #_informatsionnaja_bezopasnost (Информационная безопасность), #_razrabotka_mobilnyh_prilozhenij (Разработка мобильных приложений), #_sotsialnye_seti_i_soobschestva (Социальные сети и сообщества), #_instagram, #_ataka (атака), #_perepolnenie (переполнение), #_problema (проблема), #_mozjpeg, #_fazzing (фаззинг), #_itkompanii (
IT-компании
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_razrabotka_mobilnyh_prilozhenij (
Разработка мобильных приложений
), #_sotsialnye_seti_i_soobschestva (
Социальные сети и сообщества
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 14:35
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Специалисты компании Check Point рассказали о найденной в начале этого года серьезной уязвимости в мобильном приложении Instagram для iOS и Android. Злоумышленники могли с помощью уязвимости CVE-2020-1895 получить практически полный доступ к смартфону жертвы. Все что им было нужно для этого — отправить пользователю картинку с вредоносным кодом и специально созданными размерами. Далее штатный алгоритм обработки изображений приложения Instagram использовался для успешного проведения атаки, основанной на переполнении кучи/хипа (heap buffer overflow). Уязвимость CVE-2020-1895 была обнаружена Check Point в начале этого года. Ей были подвержены версии приложения Instagram вплоть до 128.0.0.26.128. Расследование Check Point с помощью фаззинга показало, что разработчики Instagram неправильно использовали сторонний инструмент MozJPEG (открытый декодер JPEG от Mozilla). Оказалось, что в приложении Instagram код обработчика этого инструмента имел свои ограничения. В нем можно было вызвать целочисленное переполнение, если приложение пытается обработать и открыть изображение большего размера, считая его меньшим — ранее полученную и сохраненную пользователем на смартфон вредоносную картинку со специально заданными размерами. Примечательно, что у злоумышленника было два варианта дальнейшей атаки после запуска вредоносного кода после использования уязвимости:
В феврале 2020 года специалисты Facebook выпустили новые версии мобильных приложений Instagram с патчем против уязвимости CVE-2020-1895. В середине сентября 2020 года Microsoft выпустила новый автоматизированный инструмент для разработчиков — Project OneFuzz. Это фаззинг решение в настоящее время уже заменило сервис Microsoft Security Risk Detection Service. Исходные коды инструмента Project OneFuzz уже доступны на GitHub под лицензией MIT, включая документацию и примеры. =========== Источник: habr.com =========== Похожие новости:
IT-компании ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_razrabotka_mobilnyh_prilozhenij ( Разработка мобильных приложений ), #_sotsialnye_seti_i_soobschestva ( Социальные сети и сообщества ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 14:35
Часовой пояс: UTC + 5