Раскрыта уязвимость в Facebook, позволяющая удалить любое видео с сайта

Олег Иванов 24 Января 2017 - 20:02

...

Раскрыта уязвимость в Facebook, позволяющая удалить любое видео с сайта

Facebook выплатил исследователю 10 000 $ за обнаруженную уязвимость, которая позволяла удаленно удалить любое видео с сайта.

Эксперт Дэн Меламед (Dan Melamed) сообщил об этой бреши Facebook еще летом. Однако только в понедельник он раскрыл подробности, касающиеся этой уязвимости.

Дэн обнаружил, что видео, загруженные на страницу публичного мероприятия на Facebook имеют присвоенный им идентификатор. Размещая видео на странице, эксперт мог заменить его идентификатор на идентификатор видео, которое он хотел удалить, таким образом прикрепив это видео к своему посту. Далее все, что нужно было сделать исследователю, это удалить свое сообщение и целевое видео удалялось тоже.

Идентификатор видео можно легко получить из его URL. Злоумышленник может перехватить собственный запрос загрузки видео и заменить идентификатор.

Помимо удаления видео, тот же метод может быть использован для отключения комментариев под атакуемым видео. Это можно было сделать с помощью опции "Выключать комментарии" в том же самом выпадающем меню, в котором находится опция "Удалить сообщение".

Эксперты даже опубликовали видео, подтверждающее наличие уязвимости и демонстрирующее ее эксплуатацию.

Facebook потребовалось всего несколько дней после получения отчета эксперта, чтобы исправить брешь. Самому исследователю соцсеть решила выплатить 10 000 $ в качестве вознаграждения.

Следующая главная новость »

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!

Екатерина Быстрова 25 Февраля 2026 - 19:59

Корпорации «Группа Астра»

«Группа Астра» объединила VDI и виртуализацию в одной лицензии

«Группа Астра» представила единую лицензию Termidesk Enterprise для развертывания инфраструктуры виртуальных рабочих мест (VDI). Новый формат объединяет несколько уже интегрированных продуктов компании и позволяет запускать VDI без отдельного подбора и «сшивания» разных решений.

В состав Termidesk Enterprise входят три компонента. Первый — Termidesk VDI, система для создания виртуальных рабочих мест с доступом к корпоративным данным и приложениям.

Второй — Termidesk Connect, решение класса ADC, которое выполняет функции безопасного шлюза доступа. При необходимости расширенные функции балансировки нагрузки в одном или нескольких ЦОДах лицензируются отдельно. Третий компонент — VMmanager, платформа для управления аппаратной и контейнерной виртуализацией, которая обеспечивает вычислительные ресурсы для всей инфраструктуры.

Все продукты уже протестированы на совместимость друг с другом, а их развитие синхронизируется заранее. Это должно снизить риски несовместимости версий и упростить поддержку.

Termidesk Enterprise можно использовать в разных сценариях. Помимо классического VDI с виртуальными машинами для офисной работы, поддерживается 3D-VDI — для задач с ресурсоемкой графикой, например в САПР.

Возможен и вариант терминального сервера, где пользователи работают в общем окружении под одной ОС. Также предусмотрена публикация отдельных приложений с терминального сервера на устройства пользователей и организация удаленного доступа к физическим рабочим станциям без сторонних инструментов.

Решение ориентировано как на крупные организации и госсектор, где актуальны проекты импортозамещения, так и на компании среднего и малого бизнеса, которым нужно быстро запустить виртуальные рабочие места.

Параллельно компания запустила образовательную программу «TDHA: Развертывание и расширенное управление высокодоступной инфраструктурой Termidesk». В рамках курса слушатели изучают построение отказоустойчивых конфигураций, настройку кластеров управления и масштабирование системы.

В «Группе Астра» отмечают, что формат единой лицензии призван упростить выбор компонентов для VDI-инфраструктуры и сократить время на внедрение.

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!