Facebook Awards $ 10K赏金发现虫子发现
Facebook已授予安全研究人员10,000美元的赏金,以发现Messenger中的GIF处理漏洞。
在最近更新之前,该错误可能被滥用,以使Facebook服务器通过畸形的GIF映像从内存中泄漏数据,并有可能使攻击者删除敏感信息。
Android安全研究人员Dzmitry Lukyanenka在没有身体内容的情况下创建自己的GIF图像文件后找到了问题。上传后,Facebook服务器将尝试解析GIF,但由于那里没有内容,因此从先前缓冲的数据渗入的信息可能是从属于其他用户的图像中进行的。
Lukyanenka通过Messenger for Android提交了有效载荷,但仅在Messenger Web应用程序中可见漏洞。beplay体育能用吗
根据他的说法写上去在这个虫子中,卢基海纳的灵感来自类似的漏洞去年在开源图像转换器ImageMagick中发现,在其中操纵的图像文件也导致了服务器内存泄漏。
Lukyanenka于2月26日向Facebook报告了该问题,该问题于3月9日固定。
OpenSSL加密软件库中臭名昭著的Heartble Bug是服务器内存披露漏洞的另一个示例。该错误使50万网站面临攻击风险,beplay体育能用吗由Netcraft报告2014年。
