Администрация Facebook выплатила российскому программисту Андрею Леонову
рекордные $40 тысяч за обнаружение уязвимости, с помощью которой
взломщик мог выполнять произвольный код на серверах соцсети. Об этом пишет Fortune, процесс обнаружения ошибки Леонов описал в своём блоге.
Программист рассказал, что он обнаружил сбой,
изучая обработку фотографий в Facebook. Соцсеть использует сервис
ImageMagick для уменьшения размера изображений, на которые пользователь
даёт ссылку, и при загрузке на свой сервер проверяет только формат
изображения — JPG, GIF или PNG, написал Леонов. Тип файла проверяется по
первым байтам, что позволяет под видом картинки замаскировать любой
файл, указал он.
Леонов сообщил об ошибке в Facebook 16 октября
2016 года, 19 октября уязвимость была устранена. В ноябре Facebook
выплатила награду исследователю.
Представители Facebook сообщили
Fortune, что выплата Леонову оказалась самой большой за всё время
существования программы вознаграждений за найденные уязвимости. Ранее
наиболее крупная награда была выдана бразильскому программисту Режиналдо
Сильве, который рассказал о способе получить доступ почти к любым
файлам на серверах соцсети. В 2014 году он получил $33 тысячи.
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Чтобы писать комментарии Вам необходимо зарегистрироваться либо войти на сайт под своим именем.
» Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации. Зарегистрируйтесь на портале чтобы оставлять комментарии
Материалы предназначены только для ознакомления и обсуждения. Все права на публикации принадлежат их авторам и первоисточникам. Администрация сайта может не разделять мнения авторов и не несет ответственность за авторские материалы и перепечатку с других сайтов. Ресурс может содержать материалы 16+
