第三方代码错误留下了Instagram用户,以上帐户收购风险
英国政府设立了工作队,以解决Comms Tech'市场失败'
新西兰央行IT系统在网络攻击中突破
公共部门IT领导者与数据基础架构遗产斗争
审查贷款费用:政府在欧盟法律上受到挑战的政府的税收政策
Re:发明2020:AWS CEO Andy Jassy重新定义混合云
数据如何解决未来的健康挑战
迷宫Ransomware用奇怪的公告关闭
政府泵20米进入AI研究项目
AI委员会建议政府做人工智能下降
思科揭示了打算获得DASHBASE
计算机每周宣布英国科技妇女最具影响力的女性2020
法国监管机构精细谷歌和亚马逊在Cookie政策上
爱立信进入网络管弦乐运行和自动化的工业势头
英国公司发现解锁边缘充分潜力的障碍
花旗是如何民主化的数据
项目努力获得装备开始第一公共自治车辆试验
5G覆盖范围设定到2025年以上的全球人口超过一半
政府在狩猎吞噬技术
纯粹的目标是统一文件和对象,并启动新的QLC存储
六个俄罗斯人收取了不支持的攻击和其他攻击
纯添加块,Azure和AS-Service产品的融合
StockPort NHS Foundation Trust在思科和基于镀核的数据中心改革上开始
政府DPO由GDPR工作量挑战
数据筒仓及其复杂性扼杀业务潜力
比利时安全研究员黑客Tesla用覆盆子pi
Solarwinds攻击几乎肯定是俄罗斯幽灵的工作
IBM Targets Goldeneye将Qubits陷入困境
nvidia揭示了它的手臂计划
英国和美国标志着负责任的ai
为技术服务框架的招标提供额外的招标,价值高达2亿英镑
NBN CO泵以700万美元的价格来搭接业务连接
明亮的小实验室推出代理Asha系列
NHSX推出了第二轮NHS AI竞争
卡巴斯基索赔尊重和Kazuar之间的联系
CCS推出£800M NHS IT框架
澳大利亚监管机构起诉网络安全失误的RI建议
普利茅斯举办了世界上第一个5G海洋的海洋试验用
UDG Healthcare部署AT&T,Cisco SD-WAN获取智能边缘
TCS免费获得审慎的金融技术运营单位
地平线的主要边境中断为brexit它投资组合成为“unmonagable”
公共部门所需的算法透明度义务
Azure AD崩溃锁定的组织
伯明翰,达德利委员会加速5G推出
纯净的现金,为portworx支付370米
哈克尼委员会的服务被扰乱了“一段时间”
Reckitt Benckiser与Google Cloud一起开始数据驱动的营销大修
LORCA安全扩展措施达到资金里程碑
英国空间机构奖励空间创新项目700万英镑
DCMS的WhittingDale:国家数据策略进入咨询后阶段
您的位置:首页 >产品 > 智能硬件 >

第三方代码错误留下了Instagram用户,以上帐户收购风险

2021-09-16 15:44:00 [来源]:

检查点和Facebook的安全团队突出了在Instagram照片共享平台中披露关键的远程执行(RCE)漏洞后依赖于开发过程中依赖第三方代码的危险,这可能使恶意演员接管他们的受害者的Instagram并将其设备转换为间谍工具。

分配CVE-2020-1895,Facebook将漏洞描述为整数溢出,导致堆缓冲区溢出,并在Instagram中使用的开源,一个开源,第三方JPEG解码器,以将图像上传到应用程序。它六个月前修补了,但现在只透露了足够的用户希望更新他们的应用程序来减轻其影响。

有一个Instagram用户通过电子邮件,WhatsApp或SMS发送了一个恶意图像,然后打开Instagram应用程序,触发漏洞,让攻击者完全访问受害者的消息和图像,允许它们删除或删除图像Instagram,访问手机的其他功能,包括位置数据,电话联系人和存储介质。它也可以用来崩溃受害者的Instagram安装,否认他们访问它并强制他们删除并重新安装它。

检查点的Yaniv Balmas,网络研究负责人,警告开发人员使用第三方代码库(如Mozjpeg),而不彻底检查它们的错误。他指出,虽然通过使用第三方代码来处理诸如图像和声音处理等常见任务的开发过程中常见的虽然在开发过程中节省了时间,但这些代码通常可以包含将更严重的漏洞引入最终产品的错误。

“第三方代码库可能是一个严重的威胁。我们强烈地敦促开发人员软件应用程序来验证他们使用的第三方代码库来构建其应用程序基础架构,并确保他们的集成是正确完成的,“Balmas说。

“第三方代码实际上使用了每一个应用,并且错过嵌入其中的严重威胁非常容易。今天它是Instagram,明天 - 谁知道?“他加了。

BALMAS表示,最终用户也可以通过花时间来检查其在其设备上的应用程序等应用程序的权限。虽然这可能看起来像一个负担,但它也是平均应用程序用户的最强大的防御机制之一。

“我会建议每个人都需要一分钟并思考,我真的想把这个应用程序进入我的相机,麦克风等吗?”他说。

BALMAS还敦促人们定期更新其移动应用程序和移动操作系统,指出通常在此类更新中运送严重的安全修补程序。

Facebook发言人说:“我们已经解决了这个问题,并且没有看到任何滥用的证据。我们感谢检查点的帮助保持Instagram安全。“

评论披露,ONELOGIN技术服务副主席Stuart Sharp说:“此漏洞显示我们的在线帐户的易受群体。通过允许远程访问Instagram帐户,攻击者可以为他们希望的任何目的使用此目的,包括勒索或高调或公司Instagram帐户的妥协。Instagram必须尽快工作以修补此漏洞。“

他认为,这种漏洞的披露应该提示任何服务提供者,例如Facebook,“返回绘图板”并重新考虑开发过程中的安全性。

javvad Malik,Security Ad Advocate At Thange4描述了易受敏感和令人担忧的漏洞,因为社交媒体账户可以包含多少敏感信息。

“对于这个特殊的攻击成功,需要将图片发送到目标并保存到他们的手机。因此,捍卫这一点之一是为了人们谨慎,尤其是来自未知政党的责任。他说,杰夫贝斯的手机也受到损害,因为通过Whatsapp接收恶意软件系数视频,“他说。

“用户还可以禁用自动保存通过社交媒体(如WhatsApp)接收的图像的保存。对于使用Instagram或其他社交媒体以专业能力使用Instagram或其他社交媒体的品牌经理,值得考虑使用单独的工作和个人社交媒体使用。这将不仅适用于影响者和名人自己,也适用于任何支持他们并获得他们的账户的工作人员,“加入了马利克。

检查点的研究团队在CVE-2020-1895在线发布了完整的技术细节。他们注意到Instagram Bug可能是“冰山一角”它来到Mozjpeg时。

“基于Mozilla的项目仍然广泛应用于Web上的许多其他项目,特别是Firefox,它也被广泛用作不同流行的开源项目的一部分AssharpandlibvipsProject,”检查点的研究人员表示。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。