侵入テストの専門家、ネイサン・パワー氏はブログにて、Facebookのメッセージにファイルを添付できる機能を悪用して、通常は許可されない実行可能ファイルを送信できてしまう脆弱性が見つかったとしている。
Facebookのメッセージに添付したファイルは、「.exe」形式のファイルを添付しようとすると、通常はエラーが出てアップロードは許可されない。しかし、POSTリクエストに手を加えることによって簡単にこのセキュリティ措置をかわし、実行可能ファイルを添付できてしまうことを発見したという。
この手口を使えば、攻撃者が不正なファイルを送り付けてユーザーのコンピュータシステムに危害を加えることも可能になる。
パワー氏によれば、Facebookには9月30日にこの問題を報告し、同社は10月26日になって脆弱性の存在を認めたという。
http://www.itmedia.co.jp/news/articles/1110/28/news025.html
出典:ITmedia
