Abo
  • IT-Karriere:

Bug Bounty: Facebook zahlt 40.000 US-Dollar für Imagetragick-Bug

Facebook war auch Monate nach Entdeckung von Imagetragick für den Bug anfällig. Das Team reagierte aber schnell und patchte den Bug.

Artikel veröffentlicht am ,
Facebook zahlte 40.000 US-Dollar für einen Imagetragick.
Facebook zahlte 40.000 US-Dollar für einen Imagetragick. (Bild: Thierry Roge/Reuters)

Der Sicherheitsforscher Andrey Leonov hat 40.000 US-Dollar für die Entdeckung eines Bugs in der Software des sozialen Netzwerks bekommen. Facebook war für die Imagetragick-Schwachstelle (CVE-2016-3714) anfällig, die es ermöglicht, über präparierte Bilder Code in einen Webserver einzuschleusen und zur Ausführung zu bringen.

Stellenmarkt
  1. Jobware GmbH, Paderborn
  2. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr

Facebook war offenbar im vergangenen Herbst auch fünf Monate nach Bekanntwerden der Sicherheitslücke noch dafür verwundbar. Leonov wurde offenbar eher zufällig auf den Bug aufmerksam. Während er einen anderen großen Onlinedienst testete, leitete ihn ein Redirect auf Facebook um und er probierte verschiedene Angriffsszenarien durch.

Server Side Request Forgery

Mit dem Upload eines präparierten Bildes im SVG-Format gelang es ihm schließlich, eine Anfrage des Servers zu provozieren (Server Side Request Forgery, SSRF). Da die Firewall normale Zugriffe blockiert, nutzte Leonov stattdessen DNS-Anfragen, die von Facebooks Firewall offensichtlich nicht gefiltert wurden.

Leonov schickte im vergangenen Oktober einen Proof of Concept an Facebooks Sicherheitsteam, das innerhalb von zwei Tagen reagierte und den Fehler behoben hat. Der Bounty wurde über das Portal Bugcrowd ausgezahlt. Den Exploit selbst veröffentlichte Leonov nicht.

Der Imagetragick-Bug war im vergangenen Mai von Nikolay Ermishkin gefunden worden. Bei mehr als 200 Bildformaten war es möglich, über Bilder Shellcode in Server zu injizieren. Innerhalb weniger Tage wurde die Sicherheitslücke von Angreifern aktiv ausgenutzt. Einziger Schutz war zunächst, die Unterstützung für zahlreiche Bildformate zu deaktivieren, die Prüfung der Magic Bytes zu aktivieren oder die alternative Bibliothek Graphicsmagick zu nutzen.



Anzeige
Top-Angebote
  1. (heute u. a. Saugroboter)
  2. 149€
  3. (u. a. Metal Gear Solid V: The Definitive Experience für 8,99€ und Train Simulator 2019 für 12...
  4. (u. a. Seasonic Focus Gold 450 W für 46,99€ statt über 60€ im Vergleich)

Folgen Sie uns
       


Cepton Lidar angesehen

So funktioniert der Laserscanner des US-Startups Cepton.

Cepton Lidar angesehen Video aufrufen
Bandlaufwerke als Backupmedium: Wie ein bisschen Tetris spielen
Bandlaufwerke als Backupmedium
"Wie ein bisschen Tetris spielen"

Hinter all den modernen Computern rasseln im Keller heutzutage noch immer Bandlaufwerke vor sich hin - eine der ältesten digitalen Speichertechniken. Golem.de wollte wissen, wie das im modernen Rechenzentrum aussieht und hat das GFZ Potsdam besucht, das Tape für Backups nutzt.
Von Oliver Nickel


    Vernetztes Fahren: Wer hat uns verraten? Autodaten
    Vernetztes Fahren
    Wer hat uns verraten? Autodaten

    An den Daten vernetzter Autos sind viele Branchen und Firmen interessiert. Die Vorschläge zu Speicherung und Zugriff auf die Daten sind jedoch noch nebulös. Und könnten den Fahrzeughaltern große Probleme bereiten.
    Eine Analyse von Friedhelm Greis

    1. Neues Geschäftsfeld Huawei soll an autonomen Autos arbeiten
    2. Taxifahrzeug Volvo baut für Uber Basis eines autonomen Autos
    3. Autonomes Fahren Halter sollen bei Hackerangriffen auf Autos haften

    Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
    Ada und Spark
    Mehr Sicherheit durch bessere Programmiersprachen

    Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
    Von Johannes Kanig

    1. Das andere How-to Deutsch lernen für Programmierer
    2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein
    3. Software-Entwickler Welche Programmiersprache soll ich lernen?

      •  /