Facebookのメッセージ添付ファイルの機能を悪用して実行ファイルを送付できる脆弱性が見つかったらしい。ファイル名だけのフィルタなので、POSTを改ざんすることで添付できたそうだ。

Facebookのメッセージにファイルを添付できる機能を悪用して、通常は許可されない実行可能ファイルを送信できてしまう脆弱性が見つかったとして、セキュリティ専門家が10月27日にブログで情報を公開した。
この問題を発見したのは侵入テストの専門家、ネイサン・パワー氏。同氏のブログによると、Facebookのメッセージに添付したファイルは、Facebookにアップロードする時点でWebブラウザのPOSTリクエストがWebサーバに送信され、このリクエストの中の「filename」の変数を解析して、許可・不許可を判断している。
この仕組みにより、「.exe」形式のファイルを添付しようとすると、通常はエラーが出てアップロードは許可されない。しかしパワー氏は、POSTリクエストに手を加えることによって簡単にこのセキュリティ措置をかわし、実行可能ファイルを添付できてしまうことを発見したという。

Facebookに実行可能ファイルを送信可能な脆弱性――研究者が見つける - ITmedia エンタープライズ