Un investigador de seguridad, Andrew Leonov, ha sido premiado $40,000 en nombre de Facebook por el incumplimiento de la red social y la fijación de una vulnerabilidad de ejecución remota de código. El investigador fueron capaces de descubrir Facebook mediante el uso de un defecto ImageMagick.
Relacionado: Facebook Bug revela Primaria Dirección de correo electrónico de cualquier usuario
La falla ImageMagick antes era fijo pero se consideró una vez más Explotable
Este defecto ya se descubrió y se fija en 2016, pero era necesario abordar de nuevo. El caso se sigue que la vulnerabilidad estaba impactando el sitio web. Leonov lo que hizo fue establecer una manera de utilizarla en octubre en un escenario de ejecución remota de código.
Leonov ha compartido su descubrimiento en un blog puesto, Diciendo que:
Erase una vez el sábado en octubre que estaba probando algún servicio grande (no Facebook) cuando algunos de redireccionamiento me siguió en Facebook. Fue un «Compartir en Facebook» de diálogo.
Como es visible en la cita anterior, el investigador se topó con la vulnerabilidad al accidente y decidió explorar en profundidad. También compartió que estaba contento de ser la persona que lo explotó como él no lo hizo por razones de sombrero negro. No obstante, él consiguió recibe una recompensa por la cantidad de $40,000, o al menos eso es lo que afirma. Parece que esta es la mayor recompensa de error cada premiado. De acuerdo con el Registro, el anterior era mayor abundancia $33,500 pagados a Reginaldo Silva para descubrir otra falla la ejecución remota de código en Facebook.
Más información sobre la ejecución remota de código
Poco dicho, la habilidad para provocar la ejecución de código arbitrario de un ordenador a otro (en su mayoría a través de Internet) es ampliamente conocido como la ejecución remota de código. Lo que permitirá a los atacantes para ejecutar código malicioso y obtener el control sobre el sistema comprometido es vulnerabilidades tales como la falla ImageMagick en Facebook. Una vez que un sistema está bajo control de los atacantes, que pueden elevar sus privilegios. Dicho esto, la mejor manera de prevenir ataques de ejecución remota de código es por no permitir nunca que las vulnerabilidades sean explotados. Desafortunadamente, defectos ejecución remota de código son muy a menudo favorecidas por los atacantes, y eso es lo que hace que mantener su sistema operativo hasta al fecha crucial.
Es el impacto de una maliciosa de la vulnerabilidad? Por suerte, no, como la falla Facebook ImageMagick se informó de forma privada y no hay datos de usuario ha sido comprometida.
Relacionado: $4.3 Millones pagados por el Programa de Recompensa Bug de Facebook
Facebook gasta millones en recompensas de errores, como hemos escrito anteriormente. En 2015 solo la red social pasó un total de $936,000. La suma se repartió a 210 investigadores a cambio de informes 526 loco. El tamaño promedio de una recompensa de error se debió $1,780. Investigadores de la India estaban en la parte superior de la "cadena de recompensas bug 'en 2014 y 2015.