Milenianews.com – Tahukah kalian sobat milenia, Facebook telah menambal dua kerentanan tingkat keparahan tinggi dalam aplikasi servernya, HHVM. Kerentanan ini memungkinkan penyerang jarak jauh untuk mendapatkan informasi sensitif. Bahkan tanpa izin atau menyebabkan penolakan layanan hanya dengan mengunggah file gambar JPEG yang dibuat secara jahat.
Dilansir dari errorcybernews (11/09) Kerentanan berada di server Facebook, HHVM (HipHop Virtual Machine) — mesin virtual open source berkinerja tinggi yang dikembangkan oleh Facebook untuk menjalankan program yang ditulis dalam bahasa pemrograman Hack dan PHP.
HHVM menggunakan pendekatan kompilasi just-in-time (JIT) untuk mencapai kinerja unggul dari kode bahasa pemrograman PHP. Sambil mempertahankan fleksibilitas pengembangan yang disediakan oleh bahasa PHP.
Karena aplikasi server HHVM yang terkena dampak adalah open-source atau gratis, kedua masalah ini juga dapat berdampak pada situs web lain yang menggunakan HHVM. Termasuk Wikipedia dan Box, terutama situs yang memungkinkan penggunanya untuk mengunggah gambar di server.
2 Kerentanan server HHVM Facebook
Kedua kerentanan, seperti yang tercantum di bawah ini, ada karena kemungkinan overflow memori dalam ekstensi GD HHVM ketika masukan JPEG tidak valid yang dibangun secara khusus dilewatkan. Yang menyebabkan out-of-bounds read — sebuah kerentanan yang memungkinkan program cacat membaca data dari luar batas memori yang dialokasikan.
- CVE-2019-11925: Masalah pemeriksaan batas yang tidak memadai terjadi saat memproses penanda blok JPEG APP12 dalam ekstensi GD, memungkinkan penyerang potensial untuk mengakses memori di luar batas melalui input JPEG tidak sah yang dibuat dengan cara jahat.
- CVE-2019-11926: Masalah pemeriksaan batas yang tidak memadai terjadi saat memproses penanda M_SOFx dari header JPEG dalam ekstensi GD, memungkinkan penyerang potensial mengakses memori di luar batas melalui input JPEG tidak sah yang dibuat dengan cara jahat.
Baca Juga : Posting Foto Sedang Paddling, CEO Facebook Ditantang Menteri Susi
Kedua kerentanan ini mempengaruhi semua versi HHVM yang didukung sebelum 3.30.9. Semua versi antara HHVM 4.0.0 dan 4.8.3, semua versi antara HHVM 4.9.0 dan 4.15.2. Serta versi HHVM 4.16.0 hingga 4.16.3, 4.17 .0 hingga 4.17.2, 4.18.0 hingga 4.18.1, 4.19.0, 4.20.0 hingga 4.20.1.
Tim HHVM telah membahas kerentanan dengan merilis versi HHVM 4.21.0, 4.20.2, 4.19.1, 4.18.2, 4.17.3, 4.16.4, 4.15.3, 4.8.4, dan 3.30.10.
Buat sobat milenia yang menggunakan HHVM untuk situs web atau server kalian, disarankan untuk memperbaruinya ke versi perangkat lunak terbaru. Hal ini dilakukan untuk menghindari peretasan terhadap situs kalian.