California,Cyberthreat.id- Facebook mengumumkan telah menambal dua kerentanan tingkat tinggi dalam server HHVM (HipHop Virtual Machine), mesin virtual open source berkinerja tinggi. Ini mesin virtual yang dikembangkan oleh Facebook untuk menjalankan program yang ditulis dalam bahasa pemrograman PHP dan Hack.

Pasalnya, kerentanan tersebut dapat memungkinkan penyerang jarak jauh untuk mendapatkan informasi sensitif tanpa izin atau menyebabkan penolakan layanan hanya dengan mengunggah file gambar JPEG yang dibuat secara jahat.

“Karena server HHVM yang terkena dampak adalah open-source dan gratis, kedua masalah ini juga dapat berdampak pada situs web lain yang menggunakan HHVM, termasuk Wikipedia, Box, dan terutama yang memungkinkan penggunanya untuk mengunggah gambar di server,” tulis Facebook, seperti yang dikutip dari The Hacker News, Senin (9 September 2019).

Dua kerentanan yang dimaksud adalah:

Pertama, CVE-2019-11925: Masalah pemeriksaan batas tidak mencukupi, Hal itu terjadi, ketika memproses penanda blok JPEG APP12 dalam ekstensi GD, yang memungkinkan penyerang potensial untuk mengakses memori di luar batas melalui input JPEG tidak sah yang dibuat dengan cara jahat.

Kedua, CVE-2019-11926: Masalah pemeriksaan batas yang tidak memadai terjadi ketika memproses penanda M_SOFx dari header JPEG dalam ekstensi GD sehingga memungkinkan penyerang potensial untuk mengakses memori di luar batas melalui input JPEG yang tidak sah yang dibuat dengan cara jahat.

Facebook menyarankan, jika situs web atau server pengguna yang menggunakan HHVM, untuk segera memperbaruinya ke versi perangkat lunak terbaru, yaitu versi HHVM 4.21.0, 4.20.2, 4.19.1, 4.18.2, 4.17.3, 4.16.4, 4.15.3, 4.8.4, dan 3.30.10.