Een onderzoeker is erin geslaagd om kwaadaardige code op de servers van Facebook uit te voeren door een speciaal geprepareerd Word-document te uploaden. De kwetsbaarheid bevond zich op Facebooks carrièrewebsite, waar mensen die bij Facebook willen werken hun c.v. als pdf of docx-document kunnen uploaden. Onderzoeker Mohamed Ramadan wist echter dat docx-bestanden eigenlijk gezipte xml-bestanden zijn.
Hij opende zijn cv.docx met het zipprogramma 7zip en ontdekte verschillende xml-bestanden. Vervolgens voegde hij code toe waardoor de server van Facebook verbinding met zijn server zou maken. In eerste instantie dacht Ramadan dat zijn code niet werkte, totdat hij na een kwartier zag dat een server van Facebook inderdaad met zijn server verbinding maakte.
Volgens de onderzoeker zou hij hier op verschillende manieren gebruik van kunnen maken, zoals het uitvoeren van een Denial of Service, TCP-scans en andere commando's. In eerste instantie dacht Facebook dat er geen probleem was en dat een recruiter het bestand cv.docx had geopend en op de link had geklikt. Niet veel later gaf de sociale netwerksite echter aan dat het wel degelijk om een beveiligingslek ging, dat inmiddels is opgelost. Ramadan kreeg voor zijn bugmelding een bedrag van 6300 dollar.
Deze posting is gelocked. Reageren is niet meer mogelijk.