Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Attacher un .exe dans un message Facebook, c’est possible (oui oui…)

Le chercheur en sécurité Nathan Power a découvert une faille dans Facebook qui permet tout simplement d’attacher un .exe dans un message. Le truc marrant, c’est que pour envoyer un message à quelqu’un, on n’a pas besoin (par défaut) d’être son ami.

Il y a quand même des contrôles sur Facebook pour empêcher l’attachement d’un .exe à un message, mais il suffit de modifier la requête POST et de rajouter un simple espace à la fin du nom du fichier pour que ça passe. En effet, le système de vérification de Facebook se contente de parser la variable filename :

Content-Disposition: form-data; name="attachment"; filename="cmd.exe"

Modifier à la volée le POST pour y mettre filename= »cmd.exe «  (avec l’espace donc) suffit pour attachez n’importe quel .exe.

https://korben.info/app/uploads/2011/10/hot_stuff9.png

Le temps que Facebook corrige la faille, ça va être la fête au malware sur Facebook. Méfiez-vous donc de qui vous envoie quoi dans les jours qui viennent…

[Source]