Россиянин Андрей Леонов получил от Facebook (запрещена в РФ) рекордное вознаграждение в 40 000 долларов, сообщив техническим службам соцсети информацию о найденной им серьезной уязвимости. Об этом специалист по безопасности написал в личном блоге.
Ошибка содержалась в широко использующемся разработчиками сайтов инструменте ImageMagick — библиотеке, обеспечивающей обработку изображений перед их отображением на странице. ImageMagick поддерживается основными языками веб-программирования, включая PHP, Ruby, NodeJS, Python и другие. Баг позволял злоумышленникам исполнять на удаленном сервере произвольный код, "спрятав" специальную закладку в файле изображения.
О самой уязвимости стало известно в мае прошлого года, и большинство сайтов предприняли меры для защиты от нее. Однако в октябре Леонов сумел обойти применявшуюся Facebook защиту от подобных атак, основанную на брандмауэрах, используя метод создания DNS-туннелей. Спустя два дня после того, как он сообщил о своей находке в Facebook, соцсеть устранила уязвимость, а спустя еще десять дней перечислила Леонову 40 000 долларов.
Читайте также: Хакеры подобрали пароли к аккаунтам Цукерберга
Эта сумма является рекордной для программы поощрения "добропорядочных" хакеров, запущенной Facebook в 2011-м. В 2014-м 33 500 долларов получил от компании бразильский программист Реджинальдо Сильва, нашедший способ удаленно считывать любые файлы (включая файл с паролями системного администратора) на веб-сервере, а также исполнять произвольный код.
Источник: Ars Technica
