Yahoo! заплатила $14 тыс. за PoC-эксплоит для уязвимости в ImageMagick

Yahoo! выплатила исследователю Крису Эвансу (Chris Evans) вознаграждение в размере $14 тыс. за PoC-эксплоит для уязвимости в ImageMagick, позволявшей извлечь изображения из почты пользователей сервиса, получив их с сервера компании.

Проблема была названа Yahoobleed #1 (YB1) по аналогии с другими *bleed-уязвимостями (Heartbleed и Cloudbleed ). По словам исследователя, в отличие от Heartbleed и Cloudbleed, связанных с ошибками out-of-bound (чтение за пределами поля), YB1 (получила идентификатор CESA-2017-0002) эксплуатирует неинициализиованную область памяти. Неинициализированный буфер дешифровки изображений (uninitialized image decode buffer) используется в качестве основного инструмента передачи изображений клиенту. Из-за уязвимости происходит утечка памяти со стороны сервера. Эксплуатация подобной уязвимости не вызывает отказ в работе сервера и может использоваться более скрытно, чем out-of-bound- уязвимости, отметил Эванс.

В качестве демонстрации атаки исследователь отправил сам себе 18-байтный PoC-эксплоит под видом приложения к письму. Открыв письмо в почте Yahoo! Эванс кликнул на превью изображения для активации области предварительного просмотра. По его словам, доставленное в браузер JPEG-изображение содержало контент из неинициализированной области памяти.

Yahoo! уже устранила уязвимость и не только выплатила эксперту сумму в размере $14 тыс. (компания удвоила размер награды после того, как Эванс сообщил, что потратит деньги на благотворительность), но и полностью отказалась от применения пакета ImageMagick, используемого для обработки изображений.

Напомним, в январе нынешнего года Facebook выплатила $40 тыс. специалисту в сфере информационной безопасности Андрею Леонову за эксплуатацию уязвимости ImageTragick на одном из серверов компании.

Heartbleed (CVE-2014-0160) - ошибка в криптографическом программном обеспечении OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте, в том числе для извлечения закрытого ключа сервера. Уязвимость существовала с 2001 года. О проблеме стало известно в апреле 2014 года.