Bug Bounty: Facebook zahlt 40.000 US-Dollar für Imagetragick-Bug

Facebook war auch Monate nach Entdeckung von Imagetragick für den Bug anfällig. Das Team reagierte aber schnell und patchte den Bug.

Artikel veröffentlicht am ,
Facebook zahlte 40.000 US-Dollar für einen Imagetragick.
Facebook zahlte 40.000 US-Dollar für einen Imagetragick. (Bild: Thierry Roge/Reuters)

Der Sicherheitsforscher Andrey Leonov hat 40.000 US-Dollar für die Entdeckung eines Bugs in der Software des sozialen Netzwerks bekommen. Facebook war für die Imagetragick-Schwachstelle (CVE-2016-3714) anfällig, die es ermöglicht, über präparierte Bilder Code in einen Webserver einzuschleusen und zur Ausführung zu bringen.

Stellenmarkt
  1. Java Senior Developer (w|m|d)
    Lebensversicherung von 1871 a. G. München, München (Home-Office möglich)
  2. Systemadministrator (m/w/d) - Schwerpunkt Windows Server, VMware und Netzwerk
    CCV GmbH, Hamburg
Detailsuche

Facebook war offenbar im vergangenen Herbst auch fünf Monate nach Bekanntwerden der Sicherheitslücke noch dafür verwundbar. Leonov wurde offenbar eher zufällig auf den Bug aufmerksam. Während er einen anderen großen Onlinedienst testete, leitete ihn ein Redirect auf Facebook um und er probierte verschiedene Angriffsszenarien durch.

Server Side Request Forgery

Mit dem Upload eines präparierten Bildes im SVG-Format gelang es ihm schließlich, eine Anfrage des Servers zu provozieren (Server Side Request Forgery, SSRF). Da die Firewall normale Zugriffe blockiert, nutzte Leonov stattdessen DNS-Anfragen, die von Facebooks Firewall offensichtlich nicht gefiltert wurden.

Leonov schickte im vergangenen Oktober einen Proof of Concept an Facebooks Sicherheitsteam, das innerhalb von zwei Tagen reagierte und den Fehler behoben hat. Der Bounty wurde über das Portal Bugcrowd ausgezahlt. Den Exploit selbst veröffentlichte Leonov nicht.

Golem Akademie
  1. Einführung in Unity: virtueller Ein-Tages-Workshop
    17. Februar 2022, Virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    28. Februar–4. März 2022, virtuell
Weitere IT-Trainings

Der Imagetragick-Bug war im vergangenen Mai von Nikolay Ermishkin gefunden worden. Bei mehr als 200 Bildformaten war es möglich, über Bilder Shellcode in Server zu injizieren. Innerhalb weniger Tage wurde die Sicherheitslücke von Angreifern aktiv ausgenutzt. Einziger Schutz war zunächst, die Unterstützung für zahlreiche Bildformate zu deaktivieren, die Prüfung der Magic Bytes zu aktivieren oder die alternative Bibliothek Graphicsmagick zu nutzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation
Schlecht getarnte Tarnorganisation praktisch enttarnt

Inzwischen ist offensichtlich, dass der Bundesservice Telekommunikation zum Bundesamt für Verfassungsschutz gehört.

Bundesservice Telekommunikation: Schlecht getarnte Tarnorganisation praktisch enttarnt
Artikel
  1. Digitalisierung: 500-Euro-Laptops für Lehrer leistungsfähig und gut nutzbar
    Digitalisierung
    500-Euro-Laptops für Lehrer "leistungsfähig und gut nutzbar"

    Das Land NRW hat seine Lehrkräfte mit Dienst-Laptops ausgestattet. Doch diese äußern deutliche Kritik und verwenden wohl weiter private Geräte.

  2. Volkswagen Payments: VW entlässt Mitarbeiter wohl wegen Cybersicherheits-Bedenken
    Volkswagen Payments
    VW entlässt Mitarbeiter wohl wegen Cybersicherheits-Bedenken

    Volkswagen entlässt einem Bericht nach einen Mitarbeiter, nachdem dieser Bedenken hinsichtlich der Cybersicherheit von Volkswagen Payments äußerte.

  3. Frequenzen: Bundesnetzagentur erfüllt Forderungen der Mobilfunkkonzerne
    Frequenzen
    Bundesnetzagentur erfüllt Forderungen der Mobilfunkkonzerne

    Jochen Homann könnte vor seinem Ruhestand noch einmal Vodafone, Deutsche Telekom und Telefónica erfreuen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 Ti 12GB 1.699€ • Intel i9-10900K 444,88€ • Huawei Curved Gaming-Monitor 27" 299€ • Hisense-TVs zu Bestpreisen (u. a. 55" OLED 739€) • RX 6900 1.449€ • MindStar (u.a. Intel i7-10700KF 279€) • 4 Blu-rays für 22€ • LG OLED (2021) 77 Zoll 120Hz 2.799€ [Werbung]
    •  /