セキュリティ研究者, アンドリュー・レオノフ, 受賞した $40,000 Facebookに代わって、ソーシャルネットワークを侵害し、リモートでコードが実行される脆弱性を修正した. 研究者は、ImageMagickの欠陥を使用してFacebookをクラックすることに成功しました.
関連している: Facebookのバグが任意のユーザーのプライマリ電子メールアドレスを明らかにする
ImageMagickの欠陥は以前に修正されましたが、再び悪用可能と見なされました
この欠陥はすでに発見され、修正されています 2016, しかし、もう一度対処する必要がありました. 脆弱性がまだウェブサイトに影響を与えていたというケースがあります. Leonovが行ったことは、10月にリモートコード実行シナリオでそれを使用する方法を確立することでした。.
Leonovはブログで彼の発見を共有しました 役職, それを言って:
昔々、10月の土曜日に私はいくつかの大きなサービスをテストしていました (Facebookではありません) Facebookでリダイレクトが私をフォローしたとき. それは«Facebookで共有»ダイアログでした.
上記の引用に見られるように, 研究者は偶然に脆弱性に遭遇し、それを徹底的に調査することにしました. 彼はまた、黒い帽子の理由でそれをしなかったので、それを悪用した人であることがうれしいと共有しました. それにもかかわらず, 彼は次の金額の賞金を授与されました $40,000, または少なくともそれは彼が主張するものです. これは、すべての賞を受賞した最大の脆弱性報奨金のようです. レジスターによると, 以前の最大の賞金は $33,500 Facebookで別のリモートコード実行の欠陥を発見したことでReginaldoSilvaに支払われました.
リモートコード実行の詳細
すぐに言った, する能力 任意のコードの実行をトリガーする あるコンピュータから別のコンピュータへ (主にインターネット経由) リモートコード実行として広く知られています. 攻撃者が悪意のあるコードを実行し、侵害されたシステムを制御できるようにするのは、FacebookのImageMagickの欠陥などの脆弱性です。. システムが攻撃者の制御下にあると, 彼らは彼らの特権を高めることができます. そうは言っても, リモートコード実行攻撃を防ぐ最善の方法は、脆弱性の悪用を決して許可しないことです。. 不運にも, リモートコード実行の欠陥は、攻撃者に好まれることがよくあります, これが、オペレーティングシステムを最新の状態に保つことが重要になる理由です。.
脆弱性の悪意のある影響ですか? 幸いなことに, 番号, Facebook ImageMagickの欠陥が非公開で報告されており、ユーザーデータが危険にさらされていないため.
関連している: $4.3 Facebookのバグバウンティプログラムによって支払われた百万
Facebookはバグバウンティに数百万を費やしています, 以前に書いたように. の 2015 ソーシャルネットワークだけで合計 $936,000. 合計はに共有されました 210 報告と引き換えに研究者 526 バグ. バグバウンティの平均サイズは $1,780. インドの研究者は、「バグバウンティチェーン」のトップにいました 2014 と 2015.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: