Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини ИТ сигурност

Facebook изплати на руски хакер рекордна сума за откриване на бъг

от Надя Кръстева, 20 януари 2017 2 2296 прочитания,

Руският експерт по информационна сигурност Андрей Леонов (ник 4lemon) получи от Facebook рекордна награда в размер на $40 хил. за откриването на критична уязвимост, съобщава сайтът cnews.ru. 

До сега най-крупното възнаграждения за откриване на бъг, изплатено от Facebook бе $33,5 хил., които през 2014 г. получи “ловецът на уязвимости Реджиналдо Силва (Reginaldo Silva).
 
Леонов е открил в социалната мрежа бъг, който позволява на сървърите на Facebook да се пусне произволен код. Като “точка за вход” той използвал сериозна уязвимост в услугата ImageMagick, която осигурява бързо мащабиране и конвертиране на изображения (не само във Facebook, но и в много други web услуги). 
Според информацията на личната страница на Леонов във Facebook, към момента той работи като директор по сигурността на международната компания за маркетингови анализи SEMrush в Санкт Петербург. 

ИТ сигурност

Сериозната уязвимост в ImageMagick, която експертите са нарекли ImageTragick, е намерена през април 2016 г. За щастие разработчиците на ImageMagick доста бързо са пуснали нови версии, в които са отстранили уязвимостта, но е било необходимо и собствениците на web услуги, които прилагат ImageMagick да предприемат определени действия. През есента на 2016 г. Андрей Леонов тествал някакъв ресурс, който го пренасочил към Facebook и в крайна сметка експертът установил, че сървърите на Facebook, както и преди съдържат уязвимостта ImageTragick.
През октомври 2016 г. Леонов подготвил експлойт и го предоставил заедно с допълнителна информация на Facebook. Три дни след това уязвимостта била отстранена. 
Леонов подробно е описал резултатите от своите изследвания на собствения си сайт, но, в съответствие със споразумението му с Facebook, не е публикувал кода на експлойта. 

Следете публикациите в инфоцентър “ИТ сигурност” на сайта www.cio.bg

Професионални пътеки за сертифициране на експерта по киберсигурност

2016: година на трансформацията в киберсигурността

Българските организации обогатяват арсенала си от мерки и технологии за защита

12 въпроса за ИТ сигурността

Защита от кибер атаки в стил Сун Дзъ

ИТ сигурността днес: Нараснали рискове и намалени бюджети

ИТ сигурността през 2015 г. – положителни тенденции и предизвикателства

Информационната сигурност - време за избор на противодействаща или превантивна стратегия

10 значими тенденции в сферата на ИТ сигурността 

Превенция на корпоративен шпионаж

Когато защитите паднат (Не ако, именно когато)

Как да приложим "Тигрови мерки" за защита на информацията?

... и много други...

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов