Эксперт из России Андрей Леонов обнаружил критическую уязвимость удаленного выполнения кода в пакете программ ImageMagick, за что компания Facebook заплатила ему $40 тысяч.
Как сообщает «Коммерсантъ» со ссылкой на портал об информационной безопасности Anti-Malware, исследователь заметил запрос на Facebook, который включал параметр с именем «picture», значением которого был URL. При использовании этого параметра получаемое изображение преобразовывалось перед отображением пользователю. В частности, Леонов провел исследование и обнаружил, что конвертер изображений использует уязвимую версию библиотеки ImageMagick. Исследователь не стал обнародовать эксплоит, а направил его прямиком в Facebook.
Сообщается, что уязвимость получила идентификатор CVE-2016−3714 и название ImageTragick. Информация о ней появилась в прошлом мае. Эксперты утверждают, что эта уязвимость давно используется в атаках.
Отметим, многие интернет-гиганты часто привлекают хакеров для решения корпоративных задач. Так, в августе прошлого года корпорация Apple намеревалась привлечь хакеров и компьютерных энтузиастов для поиска уязвимостей в программном обеспечении (ПО), установленном на ее устройствах. Сообщалось, что компания готова заплатить до $200 тысяч.
Напомним, в начале января стало известно, что Евросоюз намеревается привлечь хакеров для борьбы с распространением наркотиков в интернете.