Facebook выплатила $10 000 за GIF-атаку на Facebook Messenger

Олег Иванов 12 Марта 2019 - 11:40

Домашние пользователи

...

Одному из «этичных хакеров» удалось получить от Facebook $10 000 за обнаружение уязвимости в Facebook Messenger. Эту брешь злоумышленник мог использовать для получения доступа к изображениям пользователя.

Еще в прошлом году эксперт Дмитрий Лукьяненко, специализирующийся на безопасности приложений для Android, решил проверить Facebook Messenger на предмет корректной обработки поврежденных GIF-файлов.

На эту мысль его натолкнула другая уязвимость — в ImageMagick, которую обнаружили в 2016 году.

Лукьяненко создал несколько специальных файлов GIF, чтобы понаблюдать за тем, как они обрабатываются. Изначально эксперту удалось добиться экстренного закрытия приложения Facebook Messenger на платформе Android. Однако Facebook не заплатила за эту DoS-дыру.

Чуть позже исследователь обратил внимание, что тестовый файл GIF, который он загрузил в Messenger, отображался, по его же собственным словам, как «странное изображение». Это происходило, если зайти в мессенджер в браузере.

Лукьяненко немного поэкспериментировал с размером изображения и получил результат, который напоминал картинку, выводимую на старых телевизорах при отсутствии сигнала.

Еще после нескольких тестов его GIF отобразился в качестве искаженной версии настоящего изображения.

Именно в этот момент специалист осознал — он получил данные изображения, которое было загружено до этого другим пользователем.

Несмотря на то, что Лукьяненко не удалось доказать, что подобный способ подходит для получения доступа к конфиденциальным данным, Facebook все же выплатила исследователю $10 000. Спустя менее чем две недели разработчики выпустили патч, который устранил данную дыру.

Технические подробности уязвимости можно узнать, прочитав блог Лукьяненко. Также он опубликовал видео, в котором демонстрируется эксплуатация данной проблемы:

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Олег Иванов 23 Сентября 2019 - 12:49

Windows Уязвимости программ Домашние пользователи Корпорации Microsoft

Microsoft продлит выпуск патчей для Windows 7 ради выборов 2020 года

Microsoft объявила, что компьютеры на Windows 7, используемые в сертифицированных системах для голосования, получат дополнительный бесплатный период поддержки. Другими словами, эти компьютеры смогут рассчитывать на обновления безопасности, устраняющие уязвимости.

Срок жизни Windows 7 неумолимо движется к своему логическому завершению — 14 января 2020 года Microsoft обещает прекратить поддержку этой ОС. Однако некоторые системы для голосования, которые будут использоваться во время выборов 2020 года, все ещё будут оснащены Windows 7.

Поскольку США ранее уже неоднократно отмечали атаки на свои выборы (в 2016 и 2018 годах), у Запада по понятным причинам есть опасения насчёт безопасности предстоящего мероприятия государственного масштаба.

Именно поэтому Microsoft решила продлить поддержку компьютеров, которые станут частью системы для голосования на выборах 2020 года.

«Мы знаем, что относительно малая часть сертифицированных для голосования компьютеров все ещё будут использовать Windows 7 в процессе выборов. При этом соответствующие машины могут не успеть обновить до более актуальных версий из-за условий сертификации, которая требует определённого времени».

При этом техногигант сделает исключение не только для систем в США, но и в ряде других демократических стран, которые заинтересованы в защите выборов 2020 года.

Сегодня мы также писали, что 0patch продолжит выпускать патчи для Windows 7 и Server 2008 даже после прекращения поддержки со стороны Microsoft.