В Twitter найдена активная уязвимость, позволяющая «спрятать» в картинке вредоносный файл
Новости Отредактировано
Нашедший её специалист не стал рассказывать о ней разработчикам соцсети из-за их ответа на прежнюю похожую заявку.
622 открытий626 показов
Исследователь Дэвид Бьюкенен обнаружил опасный баг в Twitter. Используя его, злоумышленники могут «спрятать» в PNG-изображениях, загруженных в соцсеть, до 3 МБ любых, в том числе и вредоносных, данных. В качестве демонстрации уязвимости, разработчик опубликовал картинки, содержащие MP3-файлы и ZIP-архивы, пишет Bleeping Computer.
Бьюкенен не стал рассказывать о найденной бреши сотрудникам Twitter. По его словам, несколько лет назад он уже обращался к ним по поводу похожей уязвимости. Но тогда ему ответили, что это не баг безопасности, так как для успешной атаки пользователю необходимо переименовать файл.
Хочу проверить работу такой картинки на себе!
- Скачайте прикреплённую к посту картинку (нужно скачать именно оригинал 2048х2048 пикселей).
- Переименуйте формат файла с .PNG на .MP3.
- Включите трек.
Скачать исходный код инструмента можно на GitHub-аккаунте автора. Там же можно ознакомиться с ограничениями по исходному изображению. Например, вы знали, что все картинки, которые весят больше 3-5 МБ, Twitter автоматически конвертирует в JPG-формат?
Источник: Bleeping Computer
622 открытий626 показов