SOS :: Security Operation Space
29 марта, пятница, 00:00
|
Hot News:

Facebook пропатчила Fizz — свою реализацию протокола TLS

21 марта 2019 г., четверг, 14:19

Разработчики закрыли баг, который позволял удаленно вызвать отказ в обслуживании.

Компания Facebook закрыла серьезный баг в протоколе Fizz — оригинальной реализации TLS с открытым исходным кодом. Эксплуатация уязвимости позволяла удаленному злоумышленнику вызвать отказ в обслуживании и приводила к сбою в работе целевой системы. Баг обнаружили ИБ-специалисты компании Semmle, применившие запросы на языке .QL для моделирования атаки.

Fizz защищает каналы передачи данных в веб-сервисах Facebook и представляет собой один из вариантов стандарта TLS 1.3. В августе прошлого года социальная сеть открыла исходный код проекта, что позволило сторонним разработчикам использовать его в своих продуктах.

Как выяснили эксперты, недостатки в реализации Fizz позволяют неавторизованному киберпреступнику удаленно инициировать бесконечный цикл, который полностью займет все ресурсы библиотеки и сделает ее недоступной для других пользователей. Баг зарегистрирован как CVE-2019-3560 и затрагивает ряд мобильных приложений Facebook, проект Proxygen и еще несколько сервисов, поддерживаемых социальной сетью. По информации разработчиков Fizz, их реализация TLS 1.3 защищает примерно половину интернет-трафика, генерируемого платформой.

Аналитики отмечают, что Fizz написан «в современном стиле C++» и не подвержен традиционным проблемам переполнения буфера, характерным для подобных проектов. Чтобы найти уязвимость и смоделировать ошибку целочисленного переполнения, ИБ-специалист Кевин Бэкхаус (Kevin Backhouse) применил язык запросов .QL, позволяющий извлекать информацию из систем управления реляционными базами данных.

Исследователи сообщили о своей находке в Facebook 20 февраля 2019 года, а уже 25 февраля вышел Fizz 2019.02.25.00, в котором уязвимости закрыли.

В данный момент все сервисы Facebook работают на обновленной версии продукта и защищены от подобных атак. Сторонним разработчикам, использующим эту библиотеку, рекомендуется незамедлительно установить апдейт.

Несмотря на то что DoS-уязвимости не входят в bug bounty социальной сети, ИБ-специалисты получили $10 тыс. за информацию об этой проблеме. Система вознаграждения этичных хакеров в Facebook — одна из самых эффективных в мире. Только в прошлом году независимые исследователи получили более $1 млн за найденные в платформе бреши. Как отмечают представители компании, общая сумма бонусов с момента запуска программы в 2011 году составила $7,5 млн.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.068
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.