Facebook Bu Hacker’a 40.000 Dolar Ödül Verdi!

0
11

Hata avcısı Andrey Leonov, Facebook’un ImageMagick kusurunu kullanarak sunucularında uzaktan kod yürütme elde ettiği için kendisine 40.000 dolarlık hata ödülü verdiğini iddia ediyor.

Facebook Bu Hacker’a 40.000 Dolar Ödül Verdi!

Her şeyden önce, size ImageMagick’ten bahsetmeme izin verin, raster görüntü ve vektör görüntü dosyalarını görüntülemek, dönüştürmek ve düzenlemek için ücretsiz ve açık kaynaklı bir yazılım paketidir. 200’den fazla görüntü dosyası formatını okuyabilir ve yazabilir.

The Register tarafından bildirildiği üzere, 1 Nisan 2016’nın sonunda ImageMagick’te bir Kusur bulundu; bu kusur, araçların saldırganların daha fazla güvenlik açığı, veri hırsızlığı ve yanal hareket mümkün olabilir.

Şimdi, bir bilgisayar korsanı, bu ImageMagick kusurunu kullanarak sunucularında uzaktan kod yürütme elde etmiş gibi görünüyor. Andrey Leonov, kusuru kullanarak Facebook sunucusunda uzaktan kod çalıştırmayı nasıl öğrendiğini açıkladığı bir blog gönderisini paylaştı.

Hacker hepsini verdi detaylar, hassas kavram kanıtı istismarı hariç. Bilgisayar korsanları, Facebook’a başka bir hizmet onu yeniden yönlendirdiğinde yanlışlıkla hatayı keşfettiğini iddia etti, ardından ImageMagick hatasının yamalanmamış olup olmadığına bakmaya karar verdi.

“İstismarın işe yaradığının tam kanıtı için, burada yayınlanmayacak olan cat /proc/version çıktısının sonucunu Facebook güvenlik ekibine sağladım”

Andrey Leonov, “Bir zamanlar Ekim ayında Cumartesi günü, bazı yönlendirmeler beni Facebook’ta takip ettiğinde bazı büyük hizmetleri (Facebook’u değil) test ediyordum. Bu bir «Facebook’ta Paylaş» diyaloğuydu,”

“Facebook’u kıranlardan biri olduğum için mutluyum”. Andrey Leonov, Facebook’tan 40.000 dolarlık bir ödül aldığını iddia ediyor ki bu, Facebook tarafından ödenen en yüksek ödül rakamı gibi görünüyor. Andrey Leonov, güvenlik açığını 16 Ekim 2016’da bildirdi ve ödülü 28 Ekim 2016’da aldı.

Peki, bunun hakkında ne düşünüyorsun? Görüşlerinizi aşağıdaki yorum kutusunda paylaşın.

LEAVE A REPLY

Please enter your comment!
Please enter your name here