Un chercheur en sécurité, Andrew Leonov, a été récompensé $40,000 au nom de Facebook pour avoir enfreint le réseau social et la fixation d'une vulnérabilité d'exécution de code à distance. Le chercheur a réussi à la fissuration Facebook en utilisant une faille ImageMagick.
en relation: Facebook Bug Révèle primaire Adresse e-mail de tout utilisateur
Le Flaw ImageMagick était auparavant fixe mais Présomption Exploitable Once Again
Ce défaut a déjà été découvert et fixé dans 2016, mais il fallait résoudre une fois de plus. L'affaire est que la vulnérabilité était encore un impact sur le site. Qu'est-ce que Leonov a fait était d'établir un moyen de l'utiliser en Octobre dans un scénario d'exécution de code à distance.
Leonov a partagé sa découverte dans un blog poste, dire que:
Il était une fois le samedi en Octobre je testais certains grands services (pas Facebook) quand certains redirect m'a suivi sur Facebook. Ce fut une «Partager sur Facebook» dialogue.
Comme cela est visible dans la citation ci-dessus, le chercheur a trébuché sur la vulnérabilité par accident et a décidé d'explorer en profondeur. Il a également partagé qu'il était heureux d'être la personne qui l'exploite comme il ne l'a pas fait pour des raisons de chapeau noir. Cependant, il a obtenu reçu une prime d'un montant de $40,000, ou du moins est ce qu'il prétend. Il semble que ce soit la plus grande générosité de tous les bug attribué. Selon The Register, la plus grande bonté précédente était $33,500 payés à Reginaldo Silva pour découvrir une autre exécution de code à distance faille dans Facebook.
En savoir plus sur l'exécution de code à distance
Peu dit, la capacité à déclencher l'exécution de code arbitraire d'un ordinateur sur un autre (principalement via l'Internet) est largement connu comme l'exécution de code à distance. Que permettre aux pirates d'exécuter du code malveillant et prendre le contrôle du système compromis est vulnérabilités telles que la faille ImageMagick dans Facebook. Une fois qu'un système est sous le contrôle des attaquants, ils peuvent élever leurs privilèges. Cela étant dit, la meilleure façon de prévenir les attaques de code à distance d'exécution est de ne jamais laisser les vulnérabilités à exploiter. Malheureusement, Les codes à distance des défauts d'exécution sont très souvent favorisés par des attaquants, et qui est ce qui permet de garder votre système d'exploitation à jour cruciale.
Est-ce l'impact malveillant de la vulnérabilité? Heureusement, non, comme le défaut Facebook ImageMagick a été signalée confidentiellement et aucune donnée d'utilisateur a été compromise.
en relation: $4.3 Million versées par le Programme de Bounty Bug Facebook
Facebook dépense des millions sur des primes de bugs, comme nous l'avons déjà écrit. Dans 2015 seul le réseau social a passé un total de $936,000. La somme a été répartie à 210 chercheurs en échange de rapports 526 bogues. La taille moyenne d'une prime de bug était $1,780. Des chercheurs indiens étaient sur le sommet de la «chaîne de primes bug 'dans 2014 et 2015.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: