Yahoo выплатила $28 000 за найденную уязвимость в библиотеке ImageMagick

ImageMagick

Yahoo решила отказаться от использования библиотеки ImageMagick после обнаружения простого способа взлома системы для получения информации из почтового ящика.

И в чём заключается этот способ?

На прошлой неделе специалист по безопасности Крис Эванс продемонстрировал уязвимость в Yahoo Mail и подробно рассказал о недостатке в системе безопасности в своем блоге. Так называемая уязвимость Yahoobleed #1 (YB1) дает возможность просматривать вложенные изображения в письмах пользователей Yahoo Mail.

YB1 использует уязвимость, найденную в ImageMagick — библиотеке для обработки изображений с открытым кодом, которая для многих онлайн-сервисов является основным инструментом для работы с изображениями.

Как сказал Эванс, в отличие от предыдущих утечек данных с серверов, таких как Heartbleed и Cloudbleed, Yahoobleed использует неинициализированные области памяти.

В качестве доказательства Эванс создал 18-байтное изображение, содержащее код эксплойта, и отправил его самому себе по электронной почте. Затем кликнул на изображение, чтобы открыть окно предварительного просмотра, тем самым показывая, как можно взломать почтовый аккаунт Yahoo.

Уязвимость заключается в малоизвестном формате изображения RLE (Utah Raster Toolkit Run Length Encoded). Злоумышленник может создать зловредное RLE-изображение, отправить его и запустить цикл из пустых протокольных команд, что приведёт к утечке информации. При этом Yahoo не реализовала каких-либо фильтров для декодеров ImageMagick, которые блокировали бы такие вредоносные файлы.

Как отреагировала Yahoo?

После подтверждения уязвимости Yahoo решила полностью отказаться от работы с ImageMagick и не рисковать безопасностью пользователей. Ошибка в библиотеке была исправлена, и Эванс получил вознаграждение в размере 14 000 долларов ($778 за каждый байт PoC-изображения). После того, как он сообщил о решении предоставить денежные средства на благотворительность, Yahoo удвоила сумму до 28 000 долларов.

Источник: ZDNet