Fjern-eksekvering af kode på Facebook-server udløser rekordstor dusør

En sikkerhedsforsker har modtaget 40.000 dollars efter at have påpeget et sikkerhedshul hos Facebook.

Via en kendt fejl i ImageMagick - et udbredt open source-bibliotek til billedbehandling - har en sikkerhedsforsker fundet frem til, at det har været muligt at fjern-eksekvere kode på Facebooks servere.

Det oplyser The Register.

Sikkerhedsforskeren, som hedder Andrey Leonov, har skrevet et detaljeret blogindlæg om sikkerhedshullet, hvor han dog udelader det proof-of-concept, som han har delt med Facebook.

Facebook har nu lukket hullet og belønnet Leonov med en dusør på 40.000 dollars (ca. 278.000 kroner).

Den hidtil største dusørudbetaling fra Facebook var på 33.500 dollars og fandt sted i januar 2014 til sikkerhedsforsker Reginaldo Silva. Her var der også tale om en sårbarhed, der muliggjorde fjern-eksekvering af kode.

I maj sidste år kom det frem, at ImageMagick indeholdt en fejl, der kunne gøre en angriber i stand til at uploade et ondsindet billedformat, som ville gøre fjern-eksekvering af kode på en server mulig - og det kunne blandt andet føre til udtræk af data fra serveren.

Leonov oplyser, at han rapporterede fejlen til Facebook i oktober sidste år. Hullet blev lukket tre dage efter.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere