Yahoo решила отказаться от использования библиотеки ImageMagick после обнаружения простого способа взлома системы для получения информации из почтового ящика.
И в чём заключается этот способ?
На прошлой неделе специалист по безопасности Крис Эванс продемонстрировал уязвимость в Yahoo Mail и подробно рассказал о недостатке в системе безопасности в своем блоге. Так называемая уязвимость Yahoobleed #1 (YB1) дает возможность просматривать вложенные изображения в письмах пользователей Yahoo Mail.
YB1 использует уязвимость, найденную в ImageMagick — библиотеке для обработки изображений с открытым кодом, которая для многих онлайн-сервисов является основным инструментом для работы с изображениями.
Как сказал Эванс, в отличие от предыдущих утечек данных с серверов, таких как Heartbleed и Cloudbleed, Yahoobleed использует неинициализированные области памяти.
В качестве доказательства Эванс создал 18-байтное изображение, содержащее код эксплойта, и отправил его самому себе по электронной почте. Затем кликнул на изображение, чтобы открыть окно предварительного просмотра, тем самым показывая, как можно взломать почтовый аккаунт Yahoo.
Уязвимость заключается в малоизвестном формате изображения RLE (Utah Raster Toolkit Run Length Encoded). Злоумышленник может создать зловредное RLE-изображение, отправить его и запустить цикл из пустых протокольных команд, что приведёт к утечке информации. При этом Yahoo не реализовала каких-либо фильтров для декодеров ImageMagick, которые блокировали бы такие вредоносные файлы.
Как отреагировала Yahoo?
После подтверждения уязвимости Yahoo решила полностью отказаться от работы с ImageMagick и не рисковать безопасностью пользователей. Ошибка в библиотеке была исправлена, и Эванс получил вознаграждение в размере 14 000 долларов ($778 за каждый байт PoC-изображения). После того, как он сообщил о решении предоставить денежные средства на благотворительность, Yahoo удвоила сумму до 28 000 долларов.
Источник: ZDNet
