Spedendo un messaggio tramite Facebook, è possibile allegare anche un file. Normalmente non si possono inviare eseguibili, ma un ricercatore ha trovato un bug che permette di aggirare in modo piuttosto semplice la restrizione. In pratica, il sistema di upload controlla solamente il contenuto della variabile “filename“: è sufficiente intercettare la sessione del browser e modificare la richiesta POST, aggiungendo uno spazio alla fine del nome dell’allegato, per inviarlo come se nulla fosse.
La informazioni sono state rilasciate pubblicamente lo scorso 27 Ottobre da Nathan Power, attraverso il sito securitypentest.com. Secondo la time table presente nel comunicato, lo Staff di Facebook era stato avvertito della vulnerabilità in data 30 Settembre, ma il problema non è ancora stato risolto.
Visto che, per default, gli utenti Faccialibro possono ricevere messaggi anche da accounts che non rientrano nella propria cerchia di “amici“, la questione non andrebbe sottovalutata.
Sapevatelo.
Tweet
No related posts.
