fbpx
Сентябрь 10, 2019 6:55 | alina |

Сотрудники Facebook исправили две критические уязвимости в серверном приложении HHVM (HipHop Virtual Machine). Они позволяют киберпреступникам удаленно получать несанкционированный доступ к конфиденциальной информации, а также вызывать отказ в обслуживании системы путем загрузки вредоноса с расширением JPEG.

HHVM — это высокопроизводительная виртуальная машина с открытым исходным кодом, разработанная компанией Facebook для выполнения программ на языках PHP и Hack. Машина использует подход компиляции just-in-time («на лету») для достижения высокой производительности кода Hack и PHP с сохранением гибкости разработки, которую обеспечивает данный язык программирования.
В виду открытости, обе уязвимости затрагивают все web-сайты, которые используют его, особенно те, которые позволяют посетителям загружать изображения на сервер.

CVE-2019-11925 и CVE-2019-11926 — уязвимости, связанные с возможным переполнением памяти в расширении GD при передаче специально сформированного фальшивого JPEG-файла. При обработке маркеров блока JPEG APP12 и маркеров M_SOFx из заголовков JPEG в расширении GD возникают трудности с проверкой границ, что и позволяет хакеру получить доступ к памяти за границами поля (out-of-bound).

Описанные проблемы затрагивают версии приложения до 3.30.9, с 4.0.0 по 4.8.3, с 4.9.0 по 4.15.2, с 4.16.0 по 4.16.3, с 4.17.0 по 4.17.2, с 4.18.0 по 4.18.1, 4.19.0 и с 4.20.0 по 4.20.1. В более поздних версиях HHVM уязвимости были устранены разработчиками.


На нашем сайте мы используем файлы cookie, чтобы сделать вашу работу наиболее комфортной. Продолжая пользоваться нашим сайтом, не меняя настроек, вы тем самым выражаете согласие на использование нами данных файлов. Более подробно вы можете почитать о них в разделе Политики конфиденциальности.