社交网络巨头

脸谱网是人们分享生活和交流的重要平台。

作为最大的照片分享网站，脸书每天上传数亿张照片。

然而，这些上传的JPEG图像文件也可能成为攻击者的利器。

脸书的HHVM有一个漏洞。

早些时候，在脸书服务器上发现了两个高风险漏洞。恶意攻击者会利用这些漏洞远程上传JPEG图像文件，以获取用户的敏感信息或直接导致拒绝服务。

这些漏洞存在于HHVM(HipHop虚拟机)。

HHVM是一个由脸书开发的高性能开源虚拟机，用来执行用PHP和黑客编程语言编写的程序。HHVM使用即时编译器来实现黑客和PHP代���的出色性能，同时保持PHP语言提供的开发灵活性。

由于受影响的HHVM服务器应用程序是开源和免费的，这两个问题也可能影响其他使用HHVM的网站，包括维基百科和Box，尤其是那些允许用户在服务器上上传图片的网站。

对于下面列出的两个漏洞，当传入一个特定的无效JPEG输入时，HHVM的GD扩展中可能会有内存溢出，导致跨境读取，这也使得恶意程序能够从分配的内存范围之外读取数据。

CVE-2019-11925：在GD扩展中处理JPEG APP12标记时，边界检查不足。攻击者将通过恶意输入无效的JPEG来越界访问内存。

CVE-2019-11926：当在GD扩展名中处理来自JPEG头文件的M_SOFx标记时，将出现边界检查不足的问题，攻击者通过恶意输入无效的JPEG来访问超出边界的内存。

受影响的版本和解决方案

HHVM有许多版本受到这两个漏洞的影响，包括以下内容:

目前，脸书已经修复了这两个漏洞，HHVM团队已经发布了HHVM版本4.21.0、4.20.2、4.19.1、4.18.2、4.17.3、4.16.4、4.15.3、4.8.4和3.30.10。

如果您的网站或服务器也使用HHVM，强烈建议您将其更新为软件的最新版本。