因图片处理软件一个漏洞,Facebook给出历史最高漏洞赏金

简介: 本文讲的是因图片处理软件一个漏洞,Facebook给出历史最高漏洞赏金,ImageMagick是一个免费开源的图像处理软件,用于创建、编辑、合成图片,可运行于大多数的操作系统,支持PHP、Ruby、NodeJS和Python等多种语言,使用非常广泛。
本文讲的是 因图片处理软件一个漏洞,Facebook给出历史最高漏洞赏金

因图片处理软件一个漏洞,Facebook给出历史最高漏洞赏金

ImageMagick是一个免费开源的图像处理软件,用于创建、编辑、合成图片,可运行于大多数的操作系统,支持PHP、Ruby、NodeJS和Python等多种语言,使用非常广泛。

然而俄罗斯的安全研究员Andrew Leonov却在其上发现了一个漏洞,编号为CVE-2016-3714。ImageMagick处理的图片中可携带攻击代码,远程攻击者可利用它执行任意代码,甚至是控制服务器。2016年5月,该漏洞被公之于众,然而厄运由此开始,大量恶意攻击者利用它进行远程访问操作。 

Andrew Leonov在一篇文章中描述了此次攻击并且提供POC。由于漏洞的危害程度极高,Facebook已经授予他4万美元奖金,这是至今为止Facebook给出的单个最高漏洞奖励。

Leonov透露发现漏洞的过程:十月份的某个星期六,当他正对一些大的服务进行测试(不是Facebook),一些重定向让他注意到了Facebook。这是一个分享到<Share on Facebook>的对话框

因图片处理软件一个漏洞,Facebook给出历史最高漏洞赏金

链接如下:

https://www.facebook.com/dialog/feed?app_id=APP_ID&link=link.example.tld&picture=http%3A%2F%2Fattacker.tld%2Fexploit.png&name=news_name&caption=news_caption&description=news_descriotion&redirect_uri=http%3A%2F%2Fwww.facebook.com&ext=1476569763&hash=Aebid3vZFdh4UF1H

Leonov解释:如果我们认真看,可以发现‘picture'参数其实是一个URL,然而页面内容上并没有如上文中提到的图像URL。服务将他重新定向到Facebook平台后他确定了漏洞的存在。

首先我想到了某种SSRF问题,但测试表明URL中的参数请求来自于 31.13.97.* network ,通过 facebookexternalhit/1.1参数。

在测试应用程序后,他又测试了ImageTragick 。

工作流程

1.获取‘picture'参数并发起请求——此请求是正确的,不易受攻击

2.通过转换器接受图片,其使用易受攻击的ImageMagick 库

Lenovo提交漏洞三天之后,Facebook 已经修复了此漏洞并表示在漏洞得到修复之前没有任何迹象表明有漏洞被攻击者利用。




原文发布时间为:2017年1月22日
本文作者:biubiu
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
Web App开发 安全 Java
Facebook 被曝雇用公司抹黑 TikTok;Spring 承认 RCE 大漏洞;Chrome 100 发布 | 思否周刊
Facebook 被曝雇用公司抹黑 TikTok;Spring 承认 RCE 大漏洞;Chrome 100 发布 | 思否周刊
209 0
|
XML Web App开发 安全
我如何发现Facebook服务器中的远程代码执行漏洞
大家好!首先我做一下自我介绍。我叫Reginaldo Silva,是一名巴西籍的计算机工程师。最近我的工作与信息安全有关,尤其是在Web应用程序安全性的方面。如果可以的话,我很乐意给大家演示如何入侵网站和应用程序。我的主页上有一些相关信息,欢迎大家浏览。
210 0
「镁客早报」Facebook再曝数据漏洞;分析师预测谷歌亚马逊明年将推出AirPods竞品
因为一个漏洞,Facebook上有680万用户的私人照片被暴露给不应该看到它们的应用程序。
422 0
|
存储 分布式计算 监控
揭秘全球最大网站 Facebook 背后应用软件
2010年6月,Google公布全球Top 1000网站。Facebook独占鳌头。 以Facebook现在的经营规模,诸多传统服务器的技术均将崩溃或根本无法支撑。那么面对5亿的活跃用户,Facebook的工程师们又将如何让网站平稳运转呢?这篇文章将展示Facebook的工程师完成这个艰巨任务所用到的一系列软件。
1510 0