Facebook 修復 Instagram 嚴重漏洞,可導致駭侵者遠端執行任意程式碼,並挾持用戶手機
- 發布單位:TWCERT/CC
- 更新日期:2020-09-29
- 點閱次數:3141
Facebook 近日針對於四月初發現的 Instagram 嚴重資安漏洞發表修補新版;這個漏洞可導致用戶的手機遭駭侵者遠端執行任意程式碼,並且挾持手機中的相機、麥克風等裝置。
資安廠商 Check Point 是在今年四月初時發現這個漏洞,並提報給 Facebook;該漏洞編號為 CVE-2020-1895,主要發生於 Instagram 進行影像處理時的錯誤。駭侵者可以利用一張特製的影像檔案,透過簡訊、WhatsApp 或其他任何方法傳給受害者,當受害者收到這張影像檔案並儲存於手機後,再開啟 Instagram,就能執行惡意程式碼。
Check Point 指出,這個漏洞出在 Instagram 使用的第三方影像處理程式庫 Mozjpeg,這是一個由 Mozilla 開發的開源 JPEG 解碼器;由於 Instagram 使用這個程式庫的方法不當,造成駭侵者可使用特製影像檔案,直接利用 Instagram 向使用者要求的多種系統權限,包括存取用戶手機上的通訊錄、GPS 座標資訊、攝影機與本機檔案系統等;駭侵者也能讀取用戶透過 Instagram 傳送的私訊,並且擅自張貼或刪除貼文,甚至竄改系統設定。
這個漏洞的 CVSS 危險程度評分高達 7.8 分,屬於高危險程度。
Check Point 發現此漏洞後,隨即秘密向 Facebook 提報;Facebook 於日前修復並發行更新版本;Facebook 也表示並未發現這個漏洞被濫用的跡象。用戶只要將 Instagram 更新至 128.0.0.26.128 後版本即可。
- CVE編號:CVE-2020-1895
- 影響產品/版本:Instagram 128.0.0.26.128 之前版本
- 解決方案:將 Instagram App 更新至 128.0.0.26.128 之後版本