جایزهی ۴۰ هزار دلاری فیسبوک برای کشف آسیبپذیری ImageTragick
یک محقق امنیتی ادعا کرد یک آسیبپذیری اجرای کد از راه دور را در بخش پردازش تصویر ImageMagick کشف کرده و ۴۰ هزار دلار جایزه دریافت کرده است.
این آسیبپذیری با شناسهی CVE-۲۰۱۶-۳۷۱۴ با نام ImageTragick در اردیبهشت ماه افشاء شد. این آسیبپذیری در حال حاضر مورد بهرهبرداری قرار گرفته است. شرکتهای امنیتی نیز روند رو به افزایشی را در استفاده از این آسیبپذیری مشاهده کردند.
به دلیل اینکه ImageMagick در چندین افزونهی پردازش تصویر و بسیاری از برنامههای کاربردی مورد استفاده قرار میگیرد، محققان امنیتی، ImageTragick را بر روی محصولات شرکتهای بزرگ از جمله یاهو مسدود کردهاند.
یک محقق امنیتی روسی با نام اندره لئوناو کشف کرد فیسبوک نیز از یک نسخهی آسیبپذیر ImageMagick استفاده میکند. این محقق اشاره کرد یک درخواست به فیسبوک حاوی پارامتری با نام «تصویر» است که با یک URL مقداردهی میشود. پروندهای که با استفاده از این آدرس URL واکشی میشود، پیش از نمایش به یک تصویر تبدیل میشود.
پس از تلاش برای پیدا کردن آسیبپذیریهای درخواست جعلی سمت کارگزار (SSRF) و رکورد خارجی XML، این محقق درخواستی برای آزمایش ImageTragick ارسال کرد. لئوناو تشخیص داد زمانیکه درخواست واکشی پروندهی تصویری، آسیبپذیر نباشد، تبدیلکنندهی تصویر، از یک کتابخانهی نسخهی قدیمی و آسیبپذیر استفاده میکند.
این آسیبپذیری در تاریخ ۲۵ مهر ماه به فیسبوک گزارش داده شد و سه روز پس از آن وصله شد. لئوناو جزئیات فنی این آسیبپذیری را کشف کرده ولی کد اثبات مفهومی که در اختیار فیسبوک قرار گرفته بود، بهطور عمومی منتشر نشد. این محقق اعلام کرد برای اینکه سیاستهای افشای مسئولانهی فیسبوک نقض نشود، از گفتن جزئیات بهرهبرداری امتناع کرده است. با این حال به نظر میرسد فیسبوک این حفرهی امنیتی را جدی شناسایی کرده و به این محقق ۴۰ هزار دلار پاداش داده است.
فیسبوک در گفتگو با سکیوریتیویک تأیید کرد که این بالاترین پرداخت جایزه تا به امروز بوده است. فیسبوک اطمینان داد که تمامی سامانههای تحت تأثیر قرار گرفته وصله شده و در حال حاضر هیچ مشکلی وجود ندارد. همچنین اشاره شده پیش از وصلهی آسیبپذیری، بهرهبرداری از آن مشاهده نشده است.
تا به امروز، بیشترین مبلغ پرداخت جایره در برنامهی پاداش در ازای اشکال، ۳۳۵۰۰ دلار بود که به یک محقق امنیتی بخاطر کشف یک آسیبپذیری XXE پرداخت شد. فیسبوک از سال ۲۰۱۱ که برنامهی پاداش در ازای اشکال خود را راهاندازی کرده، مبلغی بالغ بر ۵ میلیون دلار را به محققان امنیتی پرداخت کرده است.
منبع : asis گردآوری و انتشار : آنتی ویروس دکتر وب  |
پیشنهاد می کنیم در سایت ثبت نام کنید و یا وارد سایت شوید .