Le chercheur en sécurité Nathan Power a découvert une faille dans Facebook qui permet tout simplement d’attacher un .exe dans un message.
Le truc marrant, c’est que pour envoyer un message à quelqu’un, on n’a pas besoin (par défaut) d’être son ami. Il y a quand même des contrôles sur Facebook pour empêcher l’attachement d’un .exe à un message, mais
il suffit de modifier la requête POST et de rajouter un simple espace à la fin du nom du fichier pour que ça passe. En effet, le système de vérification de Facebook se contente de parser la variable filename :
Content-Disposition: form-data; name="attachment"; filename="cmd.exe"
Modifier à la volée le POST pour y mettre filename=”cmd.exe “ (avec l’espace donc) suffit pour attachez n’importe quel .exe.
Le temps que Facebook corrige la faille, ça va être la fête au malware sur Facebook. Méfiez-vous donc de vos contacts dans les jours qui viennent…
Source Korben
Mettre Facebook en mode OFF sous Windows? Une bonne idée !
