Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Исследователь безопасности Поуя Дараби обнаружил опасную уязвимость в функции создания опросов с изображениями и GIF-анимациями, представленной Facebook в начале ноября текущего года.

При создании опроса на серверы Facebook отправлялся запрос, включающий идентификаторы файлов прикрепленных к опросу изображений. Эксперт заметил, что пользователи могут заменить идентификатор изображения в запросе на идентификатор любой фотографии на Facebook, после чего данная фотография появится в опросе. После того, как создатель опроса удаляет сообщение, изображение, чей идентификатор был добавлен в запрос, также удаляется из Facebook.

Специалист уведомил Facebook об уязвимости 3 ноября 2017 года. Временное исправление было выпущено в тот же день. 5 ноября 2017 года компания выпустила полноценный патч.

По словам Дараби, за его находку Facebook выплатила $10 тыс. по программе вознаграждения за поиск уязвимостей. Данный случай уже не первый, когда Дараби получил вознаграждение от Facebook. В 2015 году компания выплатила ему $15 тыс. за обход систем защиты от межсайтовой подделки запроса (Сross Site Request Forgery, CSRF). В 2016 году он заработал еще $7500 долларов за обнаружение похожей проблемы.

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйте новый аккаунт в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
×
×
  • Создать...