Ejecución remota de código en Instagram

Facebook ha corregido una vulnerabilidad en la popular aplicación de fotografías que permitía ejecutar código de forma remota en el dispositivo de la víctima y hacerse con el control del dispositivo.

La vulnerabilidad, a la que se le ha asignado el identificador CVE-2020-1895, ha sido descubierta por el equipo de Check Point. Se trata de un desbordamiento de la memoria intermedia basada en ‘heap’ provocada por el módulo de procesamiento de imágenes de Instagram (Mozjpeg).

Un atacante podría provocar esta condición enviando a la víctima una imagen especialmente manipulada. La próxima vez que la víctima abriese la aplicación, el módulo encargado de decodificar la imagen provocaría el desbordamiento aprovechado para explotar el dispositivo.

Los investigadores de Check Point descubrieron el fallo tras realizar pruebas de fuzzing sobre librerías de código abierto no declaradas utilizadas por la aplicación.

Módulos utilizados por la aplicación. Fuente: checkpoint.com

En concreto en el módulo Mozjpeg, encargado de la codificación y decodificación de imágenes JPEG. Tras realizar múltiples pruebas encontraron un error a la hora de validar las dimensiones de la imagen en la función ‘read_jpg_copy_loop’ que permitiría asignar más memoria que la permitida durante una operación ‘malloc’.

Función vulnerable. Fuente: checkpoint.com

Si bien los investigadores no han conseguido controlar el desbordamiento de memoria para explotar el dispositivo, sí que han detectado un comportamiento no deseado de la librería: el aumento de hasta el 25% del tamaño de las imágenes «comprimidas» lo que podría tener un importante impacto si tenemos en cuenta la cantidad de imágenes que se suben diariamente a Instagram.

El problema afecta a las versiones de 32 y 64 bits iguales o anteriores a la 128.0.0.26.128 y ya se encuentra corregido.

Más información:

Instagram_RCE: Code Execution Vulnerability in Instagram App for Android and iOS

Comparte en tus redes: