按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

Facebook 修復 Instagram 嚴重漏洞,可導致駭侵者遠端執行任意程式碼,並挾持用戶手機

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-09-29
  • 點閱次數:3141
Facebook 修復 Instagram 嚴重漏洞,可導致駭侵者遠端執行任意程式碼,並挾持用戶手機 TWCERT/CC

Facebook 近日針對於四月初發現的 Instagram 嚴重資安漏洞發表修補新版;這個漏洞可導致用戶的手機遭駭侵者遠端執行任意程式碼,並且挾持手機中的相機、麥克風等裝置。

資安廠商 Check Point 是在今年四月初時發現這個漏洞,並提報給 Facebook;該漏洞編號為 CVE-2020-1895,主要發生於 Instagram 進行影像處理時的錯誤。駭侵者可以利用一張特製的影像檔案,透過簡訊、WhatsApp 或其他任何方法傳給受害者,當受害者收到這張影像檔案並儲存於手機後,再開啟 Instagram,就能執行惡意程式碼。

Check Point 指出,這個漏洞出在 Instagram 使用的第三方影像處理程式庫 Mozjpeg,這是一個由 Mozilla 開發的開源 JPEG 解碼器;由於 Instagram 使用這個程式庫的方法不當,造成駭侵者可使用特製影像檔案,直接利用 Instagram 向使用者要求的多種系統權限,包括存取用戶手機上的通訊錄、GPS 座標資訊、攝影機與本機檔案系統等;駭侵者也能讀取用戶透過 Instagram 傳送的私訊,並且擅自張貼或刪除貼文,甚至竄改系統設定。

這個漏洞的 CVSS 危險程度評分高達 7.8 分,屬於高危險程度。

Check Point 發現此漏洞後,隨即秘密向 Facebook 提報;Facebook 於日前修復並發行更新版本;Facebook 也表示並未發現這個漏洞被濫用的跡象。用戶只要將 Instagram 更新至 128.0.0.26.128 後版本即可。

  • CVE編號:CVE-2020-1895
  • 影響產品/版本:Instagram 128.0.0.26.128 之前版本
  • 解決方案:將 Instagram App 更新至 128.0.0.26.128 之後版本
回頁首