El investigador de seguridad Nathan Power ha descubierto un fallo en la subida de ficheros de Facebook que podría permitir el envío de cualquier tipo de fichero a través de los mensajes de la red social.

Facebook, a través de su servicio de mensajes entre sus usuarios, permite el envío de archivos adjuntos que no sean archivos ejecutables, por tanto la plataforma realiza ciertas comprobaciones sobre el fichero enviado para evitar que se trate de un binario.

  • Según ha confirmado el investigador, todas las comprobaciones sobre el contenido del mensaje se limitan a analizar la extensión del nombre del fichero indicado.
  • Facebook fue avisado el día 30 de septiembre, pero no respondió hasta pasado casi un mes
Más información en:
  • Facebook Attach EXE Vulnerability

http://www.securitypentest.com/2011/10/facebook-attach-exe-vulnerability.html

Fuente: Hispasec
Anuncios