Een security-onderzoeker, Andrew Leonov, is bekroond $40,000 namens Facebook voor overtreding van het sociale netwerk en de vaststelling van een externe code beveiligingslek. De onderzoeker erin geslaagd het kraken van Facebook met behulp van een ImageMagick fout.
Verwant: Facebook Bug onthult primaire e-mailadres van enig gebruiker
De ImageMagick Flaw was vroeger Vaste maar Geacht Exploiteerbare Once Again
Deze fout werd al ontdekt en in vaste 2016, maar moest opnieuw worden behandeld. De zaak gaat dat de kwetsbaarheid nog steeds invloed op de website. Wat Leonov deed was vast een manier om het te gebruiken in oktober in een uitvoering van externe code scenario.
Leonov heeft deelde zijn ontdekking in een blog post, dat zeggen:
Once upon a time op zaterdag in oktober was ik het testen van een aantal grote dienst (niet Facebook) toen sommige omleiding volgde me op Facebook. Het was een "Share on Facebook» dialoogvenster.
Zoals zichtbaar is in het citaat hierboven, de onderzoeker struikelde over de kwetsbaarheid per ongeluk en besloten om het te verkennen in de diepte. Hij vertelde ook dat hij blij dat de persoon die het uitgebuit worden was omdat hij het niet voor zwarte hoed redenen deed. Niettemin, hij werd bekroond met een bounty van het bedrag van $40,000, of althans dat is wat hij beweert. Het lijkt erop dat dit de grootste bug bounty elke uitgereikt. Volgens The Register, de vorige grootste bounty was $33,500 betaald aan Reginaldo Silva voor het ontdekken van een andere uitvoering van externe code fout in Facebook.
Meer over externe code worden uitgevoerd
Kort gezegd, de mogelijkheid om leiden tot het uitvoeren van willekeurige code van de ene computer op een andere (meestal via het internet) is algemeen bekend als het uitvoeren van externe code. Wat staat stellen aanvallers om kwaadaardige code uit te voeren en de controle over de gecompromitteerde systeem te krijgen is kwetsbaarheden, zoals de ImageMagick fout in Facebook. Zodra een systeem onder controle van de aanvallers ', kunnen ze hun privileges verheffen. Dat gezegd zijnde, de beste manier om de uitvoering van externe aanvallen code te voorkomen, is door nooit toestaan kwetsbaarheden worden uitgebuit. Helaas, uitvoering van externe code fouten worden vaak de voorkeur van aanvallers, en dat is wat maakt het houden van uw besturingssysteem up-to-date cruciale.
Is het een kwaadaardige uitwerking van het beveiligingslek? Gelukkig, Nee, als de Facebook ImageMagick fout privé werd gemeld en er geen gebruikersgegevens in gevaar is gebracht.
Verwant: $4.3 Miljoen betaald door Facebook's Bug Bounty Program
Facebook besteedt miljoenen aan bug bounties, zoals we al eerder hebben geschreven. In 2015 alleen het sociale netwerk bracht een totaal van $936,000. Het bedrag werd gedeeld uit te 210 onderzoekers in ruil voor het melden 526 bugs. De gemiddelde grootte van een bug bounty was $1,780. Indian onderzoekers waren op de top van de "bug bounty keten in 2014 en 2015.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: