Facebook выплатила $100 тыс. за обнаружение нового класса уязвимостей

В рамках программы Internet Defense Prize компания Facebook выплатила команде исследователей из Технологического института штата Джорджия (Georgia Institute of Technology) премию в размере $100 тыс. за обнаружение нового класса уязвимостей, вызывающих повреждение памяти, и разработку соответствующего метода их выявления.

Победители программы, которыми стали двое студентов института Вюнгюнг Ли и Ченюй Сун, а также профессоры Таэсоо Ким и Венькэ Ли, были объявлены 12 августа текущего года в ходе симпозиума USENIX Security Symposium. В своей научной работе специалисты идентифицировали новый класс уязвимостей в программах на языке C++.

Язык C++ поддерживает несколько различных способов приведения типов, в том числе статическое и динамическое, используемые для конвертации одного типа данных в другой. Исследователи разработали новую технику, позволяющую обнаружить исключительные ситуации (bad type cast) путем комбинации статического и динамического анализа. При помощи нового метода экспертам удалось обнаружить две исключительные ситуации в Firefox и девять – в библиотеке libstdc++. Проблемы уже устранены производителями.