Российский программист Андрей Леонов нашёл в социальной сети Facebook уязвимость, позволяющую выполнять вредоносный код на сервере компании. Об этом со ссылкой на сайт программиста пишет «Медуза».
Андрей Леонов нашёл ошибку в обработке фотографий на сервере Facebook. Для уменьшения объёма изображений компания использует библиотеку ImageMagick. Когда пользователь делится ссылкой, соцсеть автоматически забирает с этой страницы картинку к публикации. При загрузке файла библиотека проверяет, что это за картинка — JPG, GIF или PNG. Обычно тип файла проверяется по первым байтам файла. Это позволяет злоумышленникам замаскировать файл со своим кодом под картинку: достаточно подставить правильные первые байты JPG или GIF.
Леонов создал такой замаскированный файл и разместил его у себя на сайте. Когда он поделился страницей через Facebook, сервер забрал этот файл и выполнил код из него. В октябре 2016 года Леонов сообщил о своей находке в Facebook. После проверки сообщения сотрудниками соцсети ему выплатили награду.
За сообщение об ошибке ему заплатили 40 тысяч долларов. Это рекордная награда за обнаруженную уязвимость.
Агентство новостей «Между строк»
