Facebookのメッセージにファイルを添付できる機能を悪用して、通常は許可されない実行可能ファイルを送信できてしまう脆弱性が見つかったとして、セキュリティ専門家が10月27日にブログで情報を公開した。
この問題を発見したのは侵入テストの専門家、ネイサン・パワー氏。同氏のブログによると、Facebookのメッセージに添付したファイルは、Facebookにアップロードする時点でWebブラウザのPOSTリクエストがWebサーバに送信され、このリクエストの中の「filename」の変数を解析して、許可・不許可を判断している。
この仕組みにより、「.exe」形式のファイルを添付しようとすると、通常はエラーが出てアップロードは許可されない。しかしパワー氏は、POSTリクエストに手を加えることによって簡単にこのセキュリティ措置をかわし、実行可能ファイルを添付できてしまうことを発見したという。
この手口を使えば、攻撃者が不正なファイルを送り付けてユーザーのコンピュータシステムに危害を加えることも可能になる。添付付きのメッセージは、友達でない相手にも送ることができるという。
パワー氏によれば、Facebookには9月30日にこの問題を報告し、同社は10月26日になって脆弱性の存在を認めたという。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR