Эксперт из России Андрей Леонов обнаружил критическую уязвимость удаленного выполнения кода в пакете программ ImageMagick и получил за это от Facebook $40 тыс., сообщает "КоммерсантЪ" со ссылкой на портал об информационной безопасности Anti-Malware.
Исследователь заметил запрос на Facebook, который включал параметр с именем "picture", значением которого был URL. При использовании этого параметра получаемое изображение преобразовывалось перед отображением пользователю. Господин Леонов провел исследование и обнаружил, что конвертер изображений использует уязвимую версию библиотеки ImageMagick. Исследователь не стал обнародовать эксплоит, а направил его прямиком в Facebook.
Уязвимость получила идентификатор CVE-2016-3714 и название ImageTragick. Информация о ней появилась в прошлом мае.
Эксперты утверждают, что эта уязвимость давно используется в атаках.
