Így lehet 40 ezer dollárt keresni a Facebookkal

A Facebook rekord összeget fizetett ki egy biztonsági kutatónak, amiért az egy kritikus sebezhetőséget tárt fel.
 

Andrey Leonov biztonsági kutató mondhatja el magáról azt, hogy ezidáig ő kapta a legnagyobb pénzjutalmat a Facebooktól biztonsági hibák feltárásáért. A közösségi oldalon már régebb óta lehet díjazás fejében sebezhetőségeket keresni. A Facebook 2010 óta több mint ötmillió dollárt osztott ki azok között, akik a rendszereiben, alkalmazásaiban, szolgáltatásaiban sérülékenységeket fedeztek fel, és mindezt a szabályoknak megfelelően jelezték a vállalat számára. Az eddig odaítélt legnagyobb összegű jutalom 33500 dollár volt, amit 2014-ben Reginaldo Silva kapott egy XXE-hiba feltárásáért. Ez a rekord azonban már a múlté, ugyanis Andrey Leonov most 40 ezer dollárral gazdagodott.
 
Andrey ráadásul alapjaiban véve nem is teljesen új sérülékenységet fedezett fel, ugyanis az ImageMagick 2016 májusában napvilágra került biztonsági hibáját használta ki. A CVE-2016-3714 azonosítóval nyilvántartott, ImageTragick néven is emlegetett sebezhetőség tavaly meglehetősen nagy visszhangot keltett, és hamar ráugrott az alvilág, amely elkezdte felkutatni azokat a webes alkalmazásokat, amelyek sérülékeny ImageMagicket is használnak.
 
A biztonsági kutató a vizsgálatai során arra jött rá, hogy a Facebook egyik rendszere még mindig a sebezhető ImageMagick verzióra épült, ami aztán kihasználhatóvá is vált. A szakember elkészítette az ehhez szükséges kódokat, majd október 16-án megküldte a felfedezésének részleteit a Facebook illetékesei számára. A probléma nyilvánosságra kerülésére ugyan várni kellett, de már sikerült minden ponton megszüntetni a sérülékenységet.
 
Andrey az által elkészített exploitot, illetve proof-of-concept (PoC) kódot teljes egészében nem publikálta, nehogy ezzel is ötleteket adjon a kiberbűnözők számára. Eközben a Facebook jelezte, hogy a kritikus biztonsági rést befoltozta, és gondoskodott arról, hogy minden érintett rendszerén megtörténjen a frissítés. A patch-elési folyamatok nagy prioritást kaptak, így a hibajavítások a bejelentés ellenőrzését követő néhány órán belül megtörténtek. Egyelőre nincs arra utaló jel, hogy a frissítés előtt bárki rossz célokra fordította volna a közösségi oldal gyenge pontját.
 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség