آموزش طراحی سایت جایزه‌ی ۴۰ هزار دلاری فیس‌بوک برای کشف آسیب‌پذیری ImageTragick » باشگاه امنیت اطلاعات دکتروب | آنتی ویروس دکتر وب

ورود به سایت   عضویت
ورود به سایت

» » جایزه‌ی ۴۰ هزار دلاری فیس‌بوک برای کشف آسیب‌پذیری ImageTragick




جایزه‌ی ۴۰ هزار دلاری فیس‌بوک برای کشف آسیب‌پذیری ImageTragick

جایزه‌ی ۴۰ هزار دلاری فیس‌بوک برای کشف آسیب‌پذیری ImageTragick

 

یک محقق امنیتی ادعا کرد یک آسیب‌پذیری اجرای کد از راه دور را در بخش پردازش تصویر ImageMagick کشف کرده و ۴۰ هزار دلار جایزه دریافت کرده است.


این آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۶-۳۷۱۴ با نام ImageTragick در اردیبهشت ماه افشاء شد. این آسیب‌پذیری در حال حاضر مورد بهره‌برداری قرار گرفته است. شرکت‌های امنیتی نیز روند رو به افزایشی را در استفاده از این آسیب‌پذیری مشاهده کردند. 


به دلیل اینکه ImageMagick در چندین افزونه‌ی پردازش تصویر و بسیاری از برنامه‌های کاربردی مورد استفاده قرار می‌گیرد، محققان امنیتی، ImageTragick را بر روی محصولات شرکت‌های بزرگ از جمله یاهو مسدود کرده‌اند.


یک محقق امنیتی روسی با نام اندره لئوناو کشف کرد فیس‌بوک نیز از یک نسخه‌ی آسیب‌پذیر ImageMagick استفاده می‌کند. این محقق اشاره کرد یک درخواست به فیس‌بوک حاوی پارامتری با نام «تصویر» است که با یک URL مقداردهی می‌شود. پرونده‌ای که با استفاده از این آدرس URL واکشی می‌شود، پیش از نمایش به یک تصویر تبدیل می‌شود.


پس از تلاش برای پیدا کردن آسیب‌پذیری‌های درخواست جعلی سمت کارگزار (SSRF) و رکورد خارجی XML، این محقق درخواستی برای آزمایش ImageTragick ارسال کرد. لئوناو تشخیص داد زمانی‌که درخواست واکشی پرونده‌ی تصویری، آسیب‌پذیر نباشد، تبدیل‌کننده‌ی تصویر، از یک کتابخانه‌ی نسخه‌ی قدیمی و آسیب‌پذیر استفاده می‌کند.


این آسیب‌پذیری در تاریخ ۲۵ مهر ماه به فیس‌بوک گزارش داده شد و سه روز پس از آن وصله شد. لئوناو جزئیات فنی این آسیب‌پذیری را کشف کرده ولی کد اثبات مفهومی که در اختیار فیس‌بوک قرار گرفته بود، به‌طور عمومی منتشر نشد. این محقق اعلام کرد برای اینکه سیاست‌های افشای مسئولانه‌ی فیس‌بوک نقض نشود، از گفتن جزئیات بهره‌برداری امتناع کرده است. با این حال به نظر می‌رسد فیس‌بوک این حفره‌ی امنیتی را جدی شناسایی کرده و به این محقق ۴۰ هزار دلار پاداش داده است.


فیس‌بوک در گفتگو با سکیوریتی‌ویک تأیید کرد که این بالاترین پرداخت جایزه تا به امروز بوده است. فیس‌بوک اطمینان داد که تمامی سامانه‌های تحت تأثیر قرار گرفته وصله شده و در حال حاضر هیچ مشکلی وجود ندارد. همچنین اشاره شده پیش از وصله‌ی آسیب‌پذیری، بهره‌برداری از آن مشاهده نشده است.


تا به امروز، بیشترین مبلغ پرداخت جایره در برنامه‌ی پاداش در ازای اشکال، ۳۳۵۰۰ دلار بود که به یک محقق امنیتی بخاطر کشف یک آسیب‌پذیری XXE پرداخت شد. فیس‌بوک از سال ۲۰۱۱ که برنامه‌ی پاداش در ازای اشکال خود را راه‌اندازی کرده، مبلغی بالغ بر ۵ میلیون دلار را به محققان امنیتی پرداخت کرده است.

 

 

منبع : asis


گردآوری و انتشار : آنتی ویروس دکتر وب


توسط : mrpr  در تاریخ : 2-11-1395, 15:53   بازدیدها : 851   
بازدید کننده گرامی ، بنظر می رسد شما عضو سایت نیستید
پیشنهاد می کنیم در سایت ثبت نام کنید و یا وارد سایت شوید .