Így lehet 40 ezer dollárt keresni a Facebookkal
A Facebook rekord összeget fizetett ki egy biztonsági kutatónak, amiért az egy kritikus sebezhetőséget tárt fel.Andrey Leonov biztonsági kutató mondhatja el magáról azt, hogy ezidáig ő kapta a legnagyobb pénzjutalmat a Facebooktól biztonsági hibák feltárásáért. A közösségi oldalon már régebb óta lehet díjazás fejében sebezhetőségeket keresni. A Facebook 2010 óta több mint ötmillió dollárt osztott ki azok között, akik a rendszereiben, alkalmazásaiban, szolgáltatásaiban sérülékenységeket fedeztek fel, és mindezt a szabályoknak megfelelően jelezték a vállalat számára. Az eddig odaítélt legnagyobb összegű jutalom 33500 dollár volt, amit 2014-ben Reginaldo Silva kapott egy XXE-hiba feltárásáért. Ez a rekord azonban már a múlté, ugyanis Andrey Leonov most 40 ezer dollárral gazdagodott.
Andrey ráadásul alapjaiban véve nem is teljesen új sérülékenységet fedezett fel, ugyanis az ImageMagick 2016 májusában napvilágra került biztonsági hibáját használta ki. A CVE-2016-3714 azonosítóval nyilvántartott, ImageTragick néven is emlegetett sebezhetőség tavaly meglehetősen nagy visszhangot keltett, és hamar ráugrott az alvilág, amely elkezdte felkutatni azokat a webes alkalmazásokat, amelyek sérülékeny ImageMagicket is használnak.
A biztonsági kutató a vizsgálatai során arra jött rá, hogy a Facebook egyik rendszere még mindig a sebezhető ImageMagick verzióra épült, ami aztán kihasználhatóvá is vált. A szakember elkészítette az ehhez szükséges kódokat, majd október 16-án megküldte a felfedezésének részleteit a Facebook illetékesei számára. A probléma nyilvánosságra kerülésére ugyan várni kellett, de már sikerült minden ponton megszüntetni a sérülékenységet.
Andrey az által elkészített exploitot, illetve proof-of-concept (PoC) kódot teljes egészében nem publikálta, nehogy ezzel is ötleteket adjon a kiberbűnözők számára. Eközben a Facebook jelezte, hogy a kritikus biztonsági rést befoltozta, és gondoskodott arról, hogy minden érintett rendszerén megtörténjen a frissítés. A patch-elési folyamatok nagy prioritást kaptak, így a hibajavítások a bejelentés ellenőrzését követő néhány órán belül megtörténtek. Egyelőre nincs arra utaló jel, hogy a frissítés előtt bárki rossz célokra fordította volna a közösségi oldal gyenge pontját.
-
A Google ChromeOS két fontos biztonsági javítást kapott.
-
Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.
-
Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.
-
A cURL fejlesztői négy biztonsági hibáról számoltak be.
-
Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.
-
A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.
-
A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.
-
A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.
-
A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.
-
A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.