Андрей Леонов (4lemon) – руски експерт по информационна сигурност получи рекордна награда в размер на $40 хил. от Facebook за откриването на критична уязвимост, съобщи cnews.ru. До момента подобно друго възнаграждение от Facebook бе изплатено на Реджиналдо Силва (Reginaldo Silva), през 2014г., отново за засичане на бъг, като платената сума е била в размер на $33,5 хил.
Леонов е направил откритие, с което на сървърите на социалната мрежа може да се пусне произволен код. Входна точка за заплахата е уязвимост в услугата ImageMagick, която осигурява бързо мащабиране и конвертиране на изображения (не само във Facebook, но и за много други уеб услуги).
Въпросният Андрей Леоново работи като директор по сигурността на международната компания за маркетингови анализи SEMrush в Санкт Петербург. Уязвимостта в ImageMagick, която от експертите е наречена ImageTragick, е открита през април 2016 г. За щастие разработчиците на ImageMagick са пуснали нови версии, в които уязвимостта е отстранена, но е било необходимо и собствениците на web услуги, които прилагат ImageMagick да предприемат определени действия. През есента на 2016 г. Андрей Леонов тествал някакъв ресурс, който го пренасочил към Facebook и в крайна сметка експертът установил, че сървърите на Facebook, както и преди съдържат уязвимостта ImageTragick.
През октомври 2016 г. Леонов подготвил експлойт и го предоставил заедно с допълнителна информация на Facebook. Три дни след това уязвимостта била отстранена. Леонов подробно е описал резултатите от своите изследвания на собствения си сайт, но, в съответствие със споразумението му с Facebook, не е публикувал кода на експлойта.
Източник: CIO Bg