Написать пост

Yahoo выплатила $28 000 за найденную уязвимость в библиотеке ImageMagick

Аватар Егор Мадьяров

Yahoo перестала использовать библиотеку ImageMagick после того, как энтузиаст обнаружил уязвимость, позволяющую просматривать содержимое писем.

Yahoo решила отказаться от использования библиотеки ImageMagick после обнаружения простого способа взлома системы для получения информации из почтового ящика.

И в чём заключается этот способ?

На прошлой неделе специалист по безопасности Крис Эванс продемонстрировал уязвимость в Yahoo Mail и подробно рассказал о недостатке в системе безопасности в своем блоге. Так называемая уязвимость Yahoobleed #1 (YB1) дает возможность просматривать вложенные изображения в письмах пользователей Yahoo Mail.

YB1 использует уязвимость, найденную в ImageMagick — библиотеке для обработки изображений с открытым кодом, которая для многих онлайн-сервисов является основным инструментом для работы с изображениями.

Как сказал Эванс, в отличие от предыдущих утечек данных с серверов, таких как Heartbleed и Cloudbleed, Yahoobleed использует неинициализированные области памяти.

В качестве доказательства Эванс создал 18-байтное изображение, содержащее код эксплойта, и отправил его самому себе по электронной почте. Затем кликнул на изображение, чтобы открыть окно предварительного просмотра, тем самым показывая, как можно взломать почтовый аккаунт Yahoo.

Уязвимость заключается в малоизвестном формате изображения RLE (Utah Raster Toolkit Run Length Encoded). Злоумышленник может создать зловредное RLE-изображение, отправить его и запустить цикл из пустых протокольных команд, что приведёт к утечке информации. При этом Yahoo не реализовала каких-либо фильтров для декодеров ImageMagick, которые блокировали бы такие вредоносные файлы.

Как отреагировала Yahoo?

После подтверждения уязвимости Yahoo решила полностью отказаться от работы с ImageMagick и не рисковать безопасностью пользователей. Ошибка в библиотеке была исправлена, и Эванс получил вознаграждение в размере 14 000 долларов ($778 за каждый байт PoC-изображения). После того, как он сообщил о решении предоставить денежные средства на благотворительность, Yahoo удвоила сумму до 28 000 долларов.

Следите за новыми постами
Следите за новыми постами по любимым темам
439 открытий440 показов