برگزاری برنامه‌ی پاداش در ازای اشکال توسط فیس‌بوک برای رفع آسیب‌پذیری منع سرویس موجود در کتابخانه‌ی Fizz TLS

برگزاری برنامه‌ی پاداش در ازای اشکال توسط فیس‌بوک برای رفع آسیب‌پذیری منع سرویس موجود در کتابخانه‌ی Fizz TLS

پنجشنبه, 28 مارس, 2019 ساعت 13:06

درحالی‌که برنامه‌های پاداش در ازای اشکال شرکت فیس‌بوک به‌طور معمول آسیب‌پذیری‌های منع سرویس (DoS) را پوشش نمی‌دهند، این‌بار غول رسانه‌های اجتماعی تصمیم گرفته است پاداش قابل‌توجه ۱۰هزار دلاری را برای یک نقص امنیتی جدی موجود در Fizz، کتابخانه‌ی پروتکل امنیتی لایه‌ی انتقال (TLS) متن‌باز خود بپردازد. Fizz، که به‌عنوان کتابخانه‌ی متن‌باز فیس‌بوک در ماه آگوست سال ۲۰۱۸ میلادی منتشر شد، درواقع پیاده‌سازی پروتکل کدگذاری TLS 1.3 توسط این شرکت است. پس از انتشار عمومی Fizz، این کتابخانه توسط فیس‌بوک برای تأمین امنیت ارتباطات در برنامه‌های تلفن همراه، توزیع‌کننده‌های بار، سرویس‌های داخلی، چارچوب HTTP Proxygen و سایر برنامه‌های آن مورد استفاده قرار گرفت.

کوین بکاوس، یک محقق امنیتی از شرکت تجزیه‌وتحلیل کد Semmle کشف کرد که کتابخانه‌ی Fizz تحت تأثیر یک آسیب‌پذیری منع سرویس قرار دارد که می‌تواند توسط یک مهاجم راه دور و احرازهویت‌نشده مورد بهره‌برداری قرار بگیرد. به گفته‌ی این محقق، مهاجم با بهره‌برداری از این نقص امنیتی و ارسال یک پیام مخرب از طریق پروتکل TCP به سرورهای مورد استفاده‌ی کاربران، Fizz را وارد یک حلقه‌ی نامحدود کرده و موجب می‌شود که سرویس وب از دسترس سایر مشتریان خارج شود. اندازه‌ی این پیام تنها ۶۴ کیلوبایت است، بنابراین انجام این حمله برای مهاجم بسیار ارزان تمام می‌شود، درحالی‌که برای سرور بسیار مخرب است. بااین‌حال، هر دو شرکت فیس‌بوک و Semmle تأیید کرده‌اند که این آسیب‌پذیری نمی‌تواند برای دسترسی به داده‌های کاربران مورد بهره‌برداری قرار بگیرد.

این آسیب‌پذیری در تاریخ ۲۰ فوریه به فیس‌بوک اطلاع داده شد و در همان روز، یک وصله‌ی امنیتی در سیستم داخلی فیس‌بوک اعمال شد. این وصله که نسخه‌های 2019.02.25.00 و بعد از آن را شامل می‌شود، پنج روز بعد بر روی وب‌سایت گیت‌هاب نیز به‌صورت عمومی منتشر شد. از طرفی، با اعلام شرکت Semmle مبنی بر اهدای پاداش خود به یک مؤسسه‌ی خیریه، شرکت فیس‌بوک نیز مبلغ آن را دو برابر کرد.

منبع

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

20 − 17 =