Рекордную награду за обнаруженную уязвимость в американской социальной сети Facebook получил российский программист Андрей Леонов. Компания, признав, что уязвимость действительно существует, выплатила россиянину $40 тыс., передает Prime News.
Как рассказал сам Леонов в своем блоге, проблема заключалась в библиотеке ImageMagick, отвечающей за обработку фотографий (быстрое масштабирование и конвертация) на сервере Facebook. Именно она задействуется, когда пользователь делится проиллюстрированной ссылкой в своей ленте, после чего картинка оформляется в посте.
Сама уязвимость заключается в следующем. Для проверки формата файла ImageMagick проверяла только первые байты. Если файл настоящий, то этого достаточно, чтобы понять формат - JPG, GIF или PNG. Однако злоумышленники могут обмануть систему, просто выставив перед вредоносным кодом часть кода какой-либо картинки. Именно так и поступил Леонов: сервер Facebook признал картинкой созданный им файл и, ничего не заметив, выполнил код из него.
О проблемах с ImageMagick впервые стало известно еще в конце апреля 2016 года. Российский программист связался с социальной сетью 16 октября, а 28 октября ему объявили о награде.
По словам Леонова, на конкретно эту ошибку он наткнулся случайно во время тестирования стороннего приложения, и сначала не мог поверить, что она действительно существует. «Я рад быть одним из тех, кто взломал Facebook», - пошутил он в своей записи.
Отметим, что предыдущую рекордную сумму от Facebook в $33,5 тыс. получил специалист по кибербезопасности Реджинальдо Сильва. Это произошло в 2014 году.
|