En sikkerhedsekspert, Andrew Leonov, har fået tildelt $40,000 på vegne af Facebook for overtrædelse det sociale netværk og fastsættelse af en fjernkørsel sårbarhed. Forskeren lykkedes revner Facebook ved hjælp af en ImageMagick fejl.
Relaterede: Facebook Bug afslører Primær e-mail-adresse på enhver Bruger
Den ImageMagick Fejlen er tidligere Fixed men Anses udnyttelige Once Again
Fejlen er allerede opdaget og rettet i 2016, men det havde brug for at blive behandlet igen. Sagen går, at sårbarheden stadig påvirker hjemmesiden. Hvad Leonov gjorde var at etablere en måde at bruge det i oktober i en fjernkørsel scenario.
Leonov har delt sin opdagelse i en blog indlæg, sige, at:
Engang lørdag i oktober var jeg teste nogle store tjeneste (ikke Facebook) når nogle omdirigering fulgte mig på Facebook. Det var en "Del på Facebook» dialogen.
Som ses i citatet ovenfor, forskeren snuble på sårbarheden ved et uheld og besluttede at udforske det i dybden. Han delte også, at han var glad for at være den person, der udnyttede det som han ikke gøre det for sorte hat årsager. Ikke desto mindre, han fik tildelt en dusør i mængden af $40,000, eller i det mindste det er, hvad han hævder. Det fremgår, at dette er den største bug dusør hver tildelt. Ifølge The Register, den tidligere største Bounty var $33,500 betalt til Reginaldo Silva for at opdage en anden fjernkørsel af programkode fejl i Facebook.
Mere om fjernbetjening af kode
Kort sagt, evnen til at udløse vilkårlig kode fra en computer på en anden (meste via internettet) er almindeligt kendt som fjernkørsel af programkode. Hvad gør det muligt for angribere at udføre ondsindet kode og få kontrol over kompromitteret system er sårbarheder Såsom ImageMagick fejl i Facebook. Når et system er under angriberne 'kontrol, de kan ophøje deres privilegier. Når det er sagt, den bedste måde at forhindre fjernkørsel af programkode angreb er ved aldrig at lade sårbarheder skal udnyttes. Desværre, fjernkørsel af programkode fejl meget ofte begunstiget af angribere, og det er det, der gør at holde dit operativsystem up-to-date afgørende.
Er en ondsindet virkning af sårbarhed? Heldigvis, ingen, som Facebook ImageMagick fejl privat blev rapporteret og ingen brugerdata er blevet kompromitteret.
Relaterede: $4.3 Million udbetales af Facebooks Bug Bounty Program
Facebook bruger millioner på bug dusører, Som vi tidligere har skrevet. I 2015 alene det sociale netværk tilbragte i alt $936,000. Summen blev delt ud til 210 forskere i bytte for rapportering 526 bugs. Den gennemsnitlige størrelse af en bug bounty var $1,780. Indiske forskere var på toppen af 'bug bounty kæde' i 2014 og 2015.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: