Δύο κρίσιμες ευπάθειες στην εφαρμογή server του, οι οποίες θα μπορούσαν να επιτρέψουν σε απομακρυσμένους επιτιθέμενους να λάβουν μη εξουσιοδοτημένες πληροφορίες ή να προκαλέσουν άρνηση εξυπηρέτησης μόλις μεταφορτώνουν ένα κακόβουλα κατασκευασμένο αρχείο εικόνας JPEG, ανακαλύφθηκαν και επιδιορθώθηκαν από το Facebook.

Οι ευπάθειες αυτές ανακαλύφθηκαν στο HHVM (Virtual HipHop Machine) – μια υψηλής απόδοσης εικονική μηχανή ανοιχτού κώδικα που αναπτύχθηκε από το Facebook για την εκτέλεση προγραμμάτων, γραμμένων σε γλώσσες προγραμματισμού PHP και Hack.

Δεδομένου ότι η επηρεαζόμενη εφαρμογή server HHVM είναι ανοιχτού κώδικα και δωρεάν και τα δύο ζητήματα ενδέχεται να επηρεάσουν και άλλους ιστότοπους που χρησιμοποιούν τον HHVM, συμπεριλαμβανομένων των Wikipedia, Box και ειδικά εκείνων που επιτρέπουν στους χρήστες τους να μεταφορτώνουν εικόνες στον server.

Και οι δύο ευπάθειες, οφείλονται σε μια πιθανή «υπερχείλιση μνήμης» στην επέκταση GD του HHVM, όταν κάποιος επιτιθέμενος εισάγει μία ειδικά προσαρμοσμένη JPEG εικόνα, που επιτρέπει σε ένα κακόβουλο πρόγραμμα να διαβάζει δεδομένα εκτός των ορίων της μνήμης.

CVE-2019-11925: Παρουσιάζονται προβλήματα ανεπαρκούς ελέγχου ορίων κατά την επεξεργασία του JPEG APP12 block marker στην επέκταση GD, επιτρέποντας σε δυνητικούς εισβολείς

να έχουν πρόσβαση στην εκτός ορίων μνήμη, μέσω κακόβουλης δημιουργίας μη έγκυρης εισόδου JPEG.

CVE-2019-11926: Παρουσιάζονται προβλήματα ανεπαρκούς ελέγχου των ορίων όταν επεξεργάζονται M_SOFx markers από JPEG headers στην επέκταση GD, επιτρέποντας σε δυνητικούς εισβολείς να έχουν πρόσβαση στην εκτός ορίων μνήμη, μέσω κακόβουλης δημιουργίας μη έγκυρης εισόδου JPEG.

Και οι δύο ευπάθειες επηρεάζουν όλες τις υποστηριζόμενες εκδόσεις HHVM πριν από την 3.30.9, όλες τις εκδόσεις μεταξύ 4.0.0 και 4.8.3, όλες τις εκδόσεις μεταξύ 4.9.0 και 4.15.2 και τις εκδόσεις 4.16.0 έως 4.16.3, 4.17 .0 έως 4.17.2, 4.18.0 έως 4.18.1, 4.19.0, 4.20.0 έως 4.20.1.

Η ομάδα του HHVM αντιμετώπισε τις ευπάθειες με την απελευθέρωση των εκδόσεων HHVM 4.21.0, 4.20.2, 4.19.1, 4.18.2, 4.17.3, 4.16.4, 4.15.3, 4.8.4 και 3.30.10.

Αν ο ιστότοπος ή ο server σας χρησιμοποιεί επίσης HHVM, συνιστάται να το ενημερώσετε στην πιο πρόσφατη έκδοση του λογισμικού άμεσα.