Написать пост

В Twitter найдена активная уязвимость, позволяющая «спрятать» в картинке вредоносный файл

Новости Отредактировано

Нашедший её специалист не стал рассказывать о ней разработчикам соцсети из-за их ответа на прежнюю похожую заявку.

622 открытий625 показов

Исследователь Дэвид Бьюкенен обнаружил опасный баг в Twitter. Используя его, злоумышленники могут «спрятать» в PNG-изображениях, загруженных в соцсеть, до 3 МБ любых, в том числе и вредоносных, данных. В качестве демонстрации уязвимости, разработчик опубликовал картинки, содержащие MP3-файлы и ZIP-архивы, пишет Bleeping Computer.

В Twitter найдена активная уязвимость, позволяющая «спрятать» в картинке вредоносный файл 1
Источник: Unsplash

Бьюкенен не стал рассказывать о найденной бреши сотрудникам Twitter. По его словам, несколько лет назад он уже обращался к ним по поводу похожей уязвимости. Но тогда ему ответили, что это не баг безопасности, так как для успешной атаки пользователю необходимо переименовать файл.

Хочу проверить работу такой картинки на себе!

  1. Скачайте прикреплённую к посту картинку (нужно скачать именно оригинал 2048х2048 пикселей).
  2. Переименуйте формат файла с .PNG на .MP3.
  3. Включите трек.

Скачать исходный код инструмента можно на GitHub-аккаунте автора. Там же можно ознакомиться с ограничениями по исходному изображению. Например, вы знали, что все картинки, которые весят больше 3-5 МБ, Twitter автоматически конвертирует в JPG-формат?

Источник: Bleeping Computer

Следите за новыми постами
Следите за новыми постами по любимым темам
622 открытий625 показов
Также рекомендуем
Новый Android-вирус крадет деньги с банковских карт через NFC
Новый Android-вирус крадет деньги с банковских карт через NFC
Новый Android-вирус NGate использует NFC для кражи денег с банковских карт, клонируя их данные и совершая несанкционированные платежи. Вирус распространяется через фишинговые сообщения и замаскированные приложения.
🔥 На исследователя подали в суд, обвинив в краже данных и распространении украденной информации
🔥 На исследователя подали в суд, обвинив в краже данных и распространении украденной информации
Город Колумбус подал иск против исследователя кибербезопасности Дэвида Лероя Росса (Коннора Гудвольфа) за незаконное скачивание и распространение данных, украденных после атаки программы-вымогателя Rhysida
🔥 Манипуляции с CSS в HTML-письмах обходят предупреждения безопасности в Outlook
🔥 Манипуляции с CSS в HTML-письмах обходят предупреждения безопасности в Outlook
Исследователи из Certitude обнаружили уязвимость в функции «First Contact Safety Tip» в Outlook, позволяющую обходить антивирусную защиту и скрывать предупреждения. Microsoft пока не устранила проблему, увеличивая риск открытия вредоносных писем пользователями. Уязвимость связана с манипуляциями CSS в HTML-письмах.
Передать данные и остаться в безопасности: алгоритмы шифрования в IT
Передать данные и остаться в безопасности: алгоритмы шифрования в IT
Alek OS рассказал, как с развитием технологий изменялись модели и алгоритмы шифрования данных, почему мощность компьютера — основная причина их устаревания и как компьютеры обмениваются ключами дешифровки.