按 Enter 到主內容區
新北市政府警察局刑事警察大隊
  • 友善列印
  • 回上一頁
  • 推到:facebook

Facebook 修復 Instagram 嚴重漏洞,可導致駭侵者遠端執行任意程式碼,並挾持用戶手機

  • 發布日期:109-11-20
  • 發布單位:刑事警察大隊

參考網站:
TWCERT/CC Facebook 修復 Instagram 嚴重漏洞,可導致駭侵者遠端執行任意程式碼,並挾持用戶手機
 
https://www.twcert.org.tw/tw/cp-104-4015-8ac67-1.html
Facebook 近日針對於四月初發現的 Instagram 嚴重資安漏洞發表修補新版;這個漏洞可導致用戶的手機遭駭侵者遠端執行任意程式碼,並且挾持手機中的相機、麥克風等裝置。
 
資安廠商 Check Point 是在今年四月初時發現這個漏洞,並提報給 Facebook;該漏洞編號為 CVE-2020-1895,主要發生於 Instagram 進行影像處理時的錯誤。駭侵者可以利用一張特製的影像檔案,透過簡訊、WhatsApp 或其他任何方法傳給受害者,當受害者收到這張影像檔案並儲存於手機後,再開啟 Instagram,就能執行惡意程式碼。
 
Check Point 指出,這個漏洞出在 Instagram 使用的第三方影像處理程式庫 Mozjpeg,這是一個由 Mozilla 開發的開源 JPEG 解碼器;由於 Instagram 使用這個程式庫的方法不當,造成駭侵者可使用特製影像檔案,直接利用 Instagram 向使用者要求的多種系統權限,包括存取用戶手機上的通訊錄、GPS 座標資訊、攝影機與本機檔案系統等;駭侵者也能讀取用戶透過 Instagram 傳送的私訊,並且擅自張貼或刪除貼文,甚至竄改系統設定。
 
這個漏洞的 CVSS 危險程度評分高達 7.8 分,屬於高危險程度。
 
Check Point 發現此漏洞後,隨即秘密向 Facebook 提報;Facebook 於日前修復並發行更新版本;Facebook 也表示並未發現這個漏洞被濫用的跡象。用戶只要將 Instagram 更新至 128.0.0.26.128 後版本即可。
CVE編號:CVE-2020-1895
影響產品/版本:Instagram 128.0.0.26.128 之前版本
解決方案:將 Instagram App 更新至 128.0.0.26.128 之後版本