Yahoo выплатила экспертам тысячи долларов за найденные уязвимости

Олег Иванов 06 Июня 2017 - 09:35

...

Yahoo выплатила экспертам тысячи долларов за найденные уязвимости

Yahoo выплатила тысячи долларов исследователям, которым удалось найти серьезные уязвимости в системах компании. Эксперты, обнаружившие бреши опубликовали в блоге свои выводы.

Исследователь, известный онлайн как Th3G3nt3lman утверждает, что получил от Yahoo 5 500 долларов за обнаружение уязвимости, приводящей к удаленному выполнению кода в Apache Struts 2. Также эксперты обнаружили недостаток в субдомене Yahoo, в котором размещена страница входа маркетингового продукта Selligent.

Брешь в Struts 2 получила идентификатор CVE-2017–5638, злоумышленники начали активно использовать ее в марте. Также эта уязвимость влияет на продукты и системы многих компаний, включая Cisco, VMware и AT&T.

Согласно Th3G3nt3lman, первоначальный эксплойт, опубликованный для CVE-2017-5638, не работал на веб-сайте Yahoo. Однако позже ему удалось обнаружить другой эксплойт, способный обойти защиту веб-приложений (WAF) и привести к удаленному выполнению кода.

Сэм Керри (Sam Curry), исследователь в области криптографии и информационной безопасности, также опубликовал в блоге сообщение, в котором описывается критическая уязвимость в системе, принадлежащей Yahoo. Керри обнаружил ошибку на веб-сайте с потоковым видео SnackTV, который Yahoo приобрела в конце 2014 года.

Эксперты утверждают, что на сайт SnackTV повлияла уязвимость ImageMagick, известная как ImageTragick. Она была раскрыта в мае 2016 года, на тот момент злоумышленники уже использовали ее в реальных атаках.

Исследователи обратили внимание, что сервер, о котором идет речь, не был уязвим к общей атаке ImageTragick, но после некоторой настройки они смогли получить эксплойт для работы и произвести инъекцию. Yahoo исправила ошибку в течение двух дней после ее изучения и выплатила экспертам 3000 долларов.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Читайте также

Холдинг Fplus все ближе к банкротству

Яков Шпунт 16 Сентября 2025 - 19:32

Корпорации

Банки «Санкт-Петербург» и ББР намерены обратиться в суд с исками о банкротстве холдинга Fplus и его генерального директора и совладельца Алексея Мельникова. Ранее аналогичное заявление подал Совкомбанк — он уже просил признать банкротами три юридические организации группы, включая головную структуру.

О планах банков «Санкт-Петербург» и ББР инициировать процедуру банкротства Fplus сообщил «Коммерсантъ», ссылаясь на публикации на портале «Федресурс».

По информации кредиторов, иски будут поданы против головной компании холдинга — «Ф-плюс оборудование и разработки» — а также против дочерней структуры «Мобильные и компьютерные технологии».

Ранее с иском о признании банкротом трёх юрлиц Fplus, включая головную компанию, обратился Совкомбанк. К процедуре затем присоединились Сбер и банк «Санкт-Петербург». По данным «СПАРК-Интерфакс», общая долговая нагрузка Fplus составляет 951 млн рублей.

Гендиректор «Промобита» (бренд Bitblaze) Максим Копосов отмечает, что похожие финансовые трудности сейчас испытывают многие компании — в том числе из-за снижения спроса со стороны государственных структур и госкомпаний.

Ассоциация разработчиков и производителей электроники прогнозирует, что российский рынок электронных компонентов по итогам 2025 года сократится примерно на 25%. В 2024 году рынок уже упал на 2,6%, а доля отечественной продукции на нём долгие годы не превышает 30%.

Юрист White Stone Игорь Ширин подчёркивает: шансов у поставщика на благоприятный исход остаётся немного. «Практика показывает, что крупные кредиторы, как правило, стремятся к быстрому и эффективному удовлетворению своих требований, что часто приводит к конкурсному производству и реализации имущества», — сказал он.