Un ricercatore di sicurezza, Andrew Leonov, è stato premiato $40,000 a nome di Facebook per la violazione della rete sociale e la fissazione di un vulnerabilità?. Il ricercatore è riuscito a violare Facebook utilizzando un difetto di ImageMagick.
Correlata: Facebook Bug rivela primaria Indirizzo e-mail di qualsiasi utente
Il difetto ImageMagick è stato precedentemente fissato, ma presunte Sfruttabile Once Again
Questo difetto è stato già scoperto e fissato in 2016, ma aveva bisogno di essere affrontato ancora una volta. Il caso vuole che la vulnerabilità era ancora un impatto sul sito. Quello che ha fatto è stato Leonov stabilire un modo per usarlo nel mese di ottobre in uno scenario di esecuzione di codice remoto.
Leonov ha condiviso la sua scoperta in un blog posta, dicendo che:
C'era una volta il Sabato di ottobre stavo testando qualche grande servizio (non Facebook) quando qualche reindirizzamento mi ha seguito su Facebook. E 'stato un «Facebook» finestra.
Come visibile nella citazione di cui sopra, il ricercatore inciampato su la vulnerabilità per caso e deciso di esplorare in profondità. Egli ha anche condiviso che era contento di essere la persona che ha sfruttato come lui non lo ha fatto per ragioni di cappello nero. Ciò nonostante, ha ottenuto assegnato una taglia per un importo di $40,000, o almeno questo è ciò che egli sostiene. Sembra che questo è il più grande di taglie bug ogni assegnato. Secondo The Register, il precedente più grande generosità era $33,500 pagato per Reginaldo Silva per scoprire un altro difetto esecuzione di codice remoto a Facebook.
Di più su esecuzione di codice remoto
Poco detto, l'abilità di scatenare l'esecuzione di codice arbitrario da un computer su un'altra (principalmente via Internet) è ampiamente noto come esecuzione di codice remoto. Cosa consentire agli aggressori di eseguire codice dannoso e ottenere il controllo del sistema compromesso è vulnerabilità, come il difetto ImageMagick in Facebook. Una volta che il sistema è sotto il controllo degli attaccanti, essi possono elevare i loro privilegi. Detto, il modo migliore per prevenire gli attacchi di codice di esecuzione remota è di non permettere mai che le vulnerabilità da sfruttare. Sfortunatamente, codice in modalità remota difetti di esecuzione sono molto spesso favoriti da aggressori, e questo è ciò che fa tenere il sistema operativo up-to-data cruciale.
È l'impatto dannoso della vulnerabilità? Per fortuna, no, come il difetto di Facebook ImageMagick è stato segnalato privatamente e non i dati degli utenti è stata compromessa.
Correlata: $4.3 Milioni erogato da Bug Programma Bounty di Facebook
Facebook spende milioni di dollari in premi di bug, come abbiamo già scritto. In 2015 solo il social network ha speso un totale di $936,000. La somma è stata ripartita per 210 ricercatori in cambio di segnalazione 526 bug. La dimensione media di una taglia bug era $1,780. ricercatori indiani erano in cima alla 'catena di bounty bug' in 2014 e 2015.