Le chercheur en sécurité Nathan Power a découvert une faille dans Facebook qui permet tout simplement d’attacher un .exe dans un message. Le truc marrant, c’est que pour envoyer un message à quelqu’un, on n’a pas besoin (par défaut) d’être son ami.
Il y a quand même des contrôles sur Facebook pour empêcher l’attachement d’un .exe à un message, mais il suffit de modifier la requête POST et de rajouter un simple espace à la fin du nom du fichier pour que ça passe. En effet, le système de vérification de Facebook se contente de parser la variable filename :
Content-Disposition: form-data; name="attachment"; filename="cmd.exe"
Modifier à la volée le POST pour y mettre filename= »cmd.exe « (avec l’espace donc) suffit pour attachez n’importe quel .exe.
Le temps que Facebook corrige la faille, ça va être la fête au malware sur Facebook. Méfiez-vous donc de qui vous envoie quoi dans les jours qui viennent…
[Source]