Sebuah cacat secara luas dilaporkan dalam ImageMagick, alat open source, digunakan oleh hacker untuk memecahkan server Facebook dengan eksekusi kode jauh. bug, mungkin, memungkinkan penyerang untuk meng-upload gambar berbahaya yang membantu dalam kompromi.
Bug Andrew Leonov mengklaim bahwa Facebook mengeluarkan dia $ 40.000 bug bounty pada bulan Oktober lalu. Kami telah menghubungi Facebook untuk konfirmasi dan pembaruan lebih lanjut. Seperti yang dilansir Fossbytes
ImageMagick cacat ditemukan pada akhir April 2016. Seperti banyak plugin pengolahan tergantung pada perpustakaan ImageMagick, masalah ini memiliki dampak luas. Sepertinya seorang peneliti keamanan telah memperoleh eksekusi kode jauh pada server dengan menggunakan ImageMagick cacat dalam beberapa kali.
Bug Andrew Leonov telah rinci posting blog dan diungkapkan bagaimana ia mendapatkan eksekusi kode jauh di server Facebook. Dia telah menulis semua rincian, kecuali bukti sensitif dari konsep eksploitasi.
"Untuk bukti penuh yang mengeksploitasi karya saya tersedia tim keamanan Facebook dengan hasil output cat/proc/versi yang tidak akan menerbitkan sini," Leonov menulis.
ImageMagick adalah alat open source yang digunakan oleh pengembang dan desainer untuk mengubah ukuran, memotong, dan tweak gambar.
Seperti disebutkan di atas, tahun lalu ditemukan bahwa alat ini dapat disalahgunakan untuk memungkinkan hacker untuk meng-upload gambar berbahaya, yang dapat digunakan untuk memberikan eksekusi kode jauh. Ini lebih lanjut dapat mengakibatkan pencurian data, exfiltration, dan jenis-jenis kompromi.
Leonov mengklaim bahwa Facebook telah membayarnya $ 40.000 untuk laporan kerentanan nya. Sampai sekarang, angka karunia tertinggi Facebook adalah $ 33.500, yang diberikan kepada Reginaldo Silva.
Menurut posting Leonov, ia mengajukan laporan awal pada 16 Oktober dan nya $ 40.000 hadiah dikeluarkan pada 28 Oktober
0komentar:
Post a Comment