Yahoo наградило хакера, обнаружившего уязвимость в ImageTragick

Интернет-компания Yahoo заплатила хакеру Бехрузу Садегхипуру 2 тысячи долларов за обнаружение уязвимости ImageTragick на одном из доменов, принадлежащих компании.

В начале мая был выявлен ряд опасных уязвимостей в пакете ImageMagick, который является основой для множества библиотек обработки изображений и модулей. Самой большой проблемой стала уязвимость CVE-2016–3714: 0-day, позволяющая удаленное выполнение произвольного кода. Для атаки достаточно загрузить на уязвимый сервер измененную специальным образом картинку. «Бреши» дали название ImageTragick.

Специалисты, обнаружившие брешь заявили, что багом уже воспользовались злоумышленники. Чуть позже их предположения подтвердили специалисты компаний CloudFlare и Sucuri, которые детально изучили эксплоиты для ImageTragick и механизмы их работы. Бехруз Садегхипур сумел доказать, что они выявили не все ошибки. Он обнаружил, что сервис Polyvore компании Yahoo уязвим перед проблемой ImageTragick. Yahoo приобрела Polyvore в 2015 году. Это социальная коммерческая платформа, которая позволяет пользователям создавать личные коллажи из одежды, обуви, аксессуаров, украшений, косметики, предметов быта и интерьера, а также загружать собственные изображения для личного профиля. Сервис оказался уязвим пред проблемой ImageTragick. Садегхипуру загрузил на сервер proof-of-concept картинку, продемонстрировав работу бага и исполнение произвольного кода на стороне сервера.

Исследователь уведомил Yahoo о проблеме и компания за три часа исправила проблему. Так как Polyvore недавно был добавлен в число сервисов, участвующих в bug bounty программе Yahoo, Садегхипур получил за свою находку 2 тысячи долларов. Впрочем, хакер полагает, что ему должны больше, учитывая опасность бага и уровень доступа, который тот позволял получить. Представители Yahoo ответили, что размер вознаграждения каждый раз определяется, учитывая глубину уязвимости и серьезность от последствий ее эксплуатации. Между тем некоторые вообще не понимают, как Садегхипур сумел получить bug bounty, всего лишь указав Yahoo на найденную другими глобальную проблему.