Ein Sicherheitsforscher, Andrew Leonov, wurde ausgezeichnet $40,000 im Namen von Facebook für das soziale Netzwerk durchbrechen und eine Remotecodeausführung ermöglichen Fixierung. Der Forscher konnte Facebook in Cracken durch einen ImageMagick Fehler mit.
verbunden: Facebook Bug enthüllt Primäre E-Mail-Adresse eines Nutzers
Die ImageMagick Flaw wurde zuvor behoben aber Deemed Nutzbare Once Again
Dieser Fehler wurde bereits entdeckt und behoben in 2016, aber es benötigt erneut behandelt werden. Der Fall geht, dass die Schwachstelle wurde noch auf der Website zu beeinträchtigen. Was Leonov tat, war, einen Weg schaffen, um es im Oktober die Verwendung in einem Remotecodeausführung Szenario.
Leonov hat seine Entdeckung in einem Blog geteilt Post, sagt, dass:
Es war einmal am Samstag im Oktober i testete einige große Service (nicht Facebook) wenn einige Umleitung folgte mir auf Facebook. Es war ein «Bild auf Facebook» Dialog.
Wie sichtbar oben im Zitat, die Forscher eher zufällig auf die Verwundbarkeit durch Zufall und beschlossen, es in der Tiefe zu erkunden. Er teilte auch, er war froh, dass die Person, die sie ausgebeutet, als er es nicht für schwarzen Hut Gründen tun haben. Dennoch, Er bekam eine Prämie in Höhe von verliehen $40,000, oder zumindest das ist, was er behauptet,. Es scheint, dass dies der größte Bug Bounty ist jede ausgezeichnet. Laut The Register, der vorherige größte Prämie war $33,500 zu Reginaldo Silva bezahlt für die Entdeckung einer anderen Remotecodeausführung Fehler in Facebook.
Mehr über Remotecodeausführung
Kurz gesagt, Die Fähigkeit zu die Ausführung beliebigen Codes auslösen von einem Computer auf einen anderen (meist über das Internet) wird als Remotecodeausführung weithin bekannt. Was Angreifer ermöglichen, schädlichen Code auszuführen und die Kontrolle über das kompromittierte System gewinnen, ist Schwachstellen wie der ImageMagick Fehler in Facebook. Sobald ein System ist unter der Kontrolle der Angreifer, sie können ihre Rechte zu erhöhen. Davon abgesehen,, der beste Weg, die Remotecodeausführung Angriffe zu verhindern, indem er nie damit Schwachstellen ausgenutzt werden. Leider, Remotecodeausführung Fehler werden sehr häufig von Angreifern begünstigt, und das ist, was Ihr Betriebssystem macht zu halten up-to-date entscheidend.
Ist das eine schädliche Auswirkung der Sicherheitsanfälligkeit? Glücklicherweise, Nein, wie die Facebook ImageMagick wurde Fehler oder privat gemeldet keine Benutzerdaten kompromittiert wurde.
verbunden: $4.3 Millionen von Facebook-Bug Bounty Programm ausgezahlt
Facebook gibt Millionen auf Fehler Bounties, wie wir bereits geschrieben haben,. In 2015 allein das soziale Netzwerk verbrachte insgesamt $936,000. Die Summe wurde aufgeteilt auf 210 Forscher im Austausch für die Berichterstattung 526 Bugs. Die durchschnittliche Größe eines Bug Bounty war $1,780. Indische Forscher waren auf der Spitze des "Bug Bounty Kette 'in 2014 und 2015.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: