По данным портала об информационной безопасности Anti-Malware, эксперт из России Андрей Леонов обнаружил критическую уязвимость удаленного выполнения кода в пакете программ ImageMagick и получил за это от Facebook $40 тыс.
Фото: Олег Харсеев, Коммерсантъ
Исследователь заметил запрос на Facebook, который включал параметр с именем «picture», значением которого был URL. При использовании этого параметра получаемое изображение преобразовывалось перед отображением пользователю. Господин Леонов провел исследование и обнаружил, что конвертер изображений использует уязвимую версию библиотеки ImageMagick. Исследователь не стал обнародовать эксплоит, а направил его прямиком в Facebook.
Уязвимость получила идентификатор CVE-2016-3714 и название ImageTragick. Информация о ней появилась в прошлом мае. Эксперты утверждают, что эта уязвимость давно используется в атаках.