• 發布單位:TWCERT/CC
• 更新日期:2020-09-29
• 點閱次數:3003

Facebook 近日針對於四月初發現的 Instagram 嚴重資安漏洞發表修補新版；這個漏洞可導致用戶的手機遭駭侵者遠端執行任意程式碼，並且挾持手機中的相機、麥克風等裝置。

資安廠商 Check Point 是在今年四月初時發現這個漏洞，並提報給 Facebook；該漏洞編號為 CVE-2020-1895，主要發生於 Instagram 進行影像處理時的錯誤。駭侵者可以利用一張特製的影像檔案，透過簡訊、WhatsApp 或其他任何方法傳給受害者，當受害者收到這張影像檔案並儲存於手機後，再開啟 Instagram，就能執行惡意程式碼。

Check Point 指出，這個漏洞出在 Instagram 使用的第三方影像處理程式庫 Mozjpeg，這是一個由 Mozilla 開發的開源 JPEG 解碼器；由於 Instagram 使用這個程式庫的方法不當，造成駭侵者可使用特製影像檔案，直接利用 Instagram 向使用者要求的多種系統權限，包括存取用戶手機上的通訊錄、GPS 座標資訊、攝影機與本機檔案系統等；駭侵者也能讀取用戶透過 Instagram 傳送的私訊，並且擅自張貼或刪除貼文，甚至竄改系統設定。

這個漏洞的 CVSS 危險程度評分高達 7.8 分，屬於高危險程度。

Check Point 發現此漏洞後，隨即秘密向 Facebook 提報；Facebook 於日前修復並發行更新版本；Facebook 也表示並未發現這個漏洞被濫用的跡象。用戶只要將 Instagram 更新至 128.0.0.26.128 後版本即可。

• CVE編號：CVE-2020-1895
• 影響產品/版本：Instagram 128.0.0.26.128 之前版本
• 解決方案：將 Instagram App 更新至 128.0.0.26.128 之後版本