درحالیکه برنامههای پاداش در ازای اشکال شرکت فیسبوک بهطور معمول آسیبپذیریهای منع سرویس (DoS) را پوشش نمیدهند، اینبار غول رسانههای اجتماعی تصمیم گرفته است پاداش قابلتوجه ۱۰هزار دلاری را برای یک نقص امنیتی جدی موجود در Fizz، کتابخانهی پروتکل امنیتی لایهی انتقال (TLS) متنباز خود بپردازد. Fizz، که بهعنوان کتابخانهی متنباز فیسبوک در ماه آگوست سال ۲۰۱۸ میلادی منتشر شد، درواقع پیادهسازی پروتکل کدگذاری TLS 1.3 توسط این شرکت است. پس از انتشار عمومی Fizz، این کتابخانه توسط فیسبوک برای تأمین امنیت ارتباطات در برنامههای تلفن همراه، توزیعکنندههای بار، سرویسهای داخلی، چارچوب HTTP Proxygen و سایر برنامههای آن مورد استفاده قرار گرفت.
کوین بکاوس، یک محقق امنیتی از شرکت تجزیهوتحلیل کد Semmle کشف کرد که کتابخانهی Fizz تحت تأثیر یک آسیبپذیری منع سرویس قرار دارد که میتواند توسط یک مهاجم راه دور و احرازهویتنشده مورد بهرهبرداری قرار بگیرد. به گفتهی این محقق، مهاجم با بهرهبرداری از این نقص امنیتی و ارسال یک پیام مخرب از طریق پروتکل TCP به سرورهای مورد استفادهی کاربران، Fizz را وارد یک حلقهی نامحدود کرده و موجب میشود که سرویس وب از دسترس سایر مشتریان خارج شود. اندازهی این پیام تنها ۶۴ کیلوبایت است، بنابراین انجام این حمله برای مهاجم بسیار ارزان تمام میشود، درحالیکه برای سرور بسیار مخرب است. بااینحال، هر دو شرکت فیسبوک و Semmle تأیید کردهاند که این آسیبپذیری نمیتواند برای دسترسی به دادههای کاربران مورد بهرهبرداری قرار بگیرد.
این آسیبپذیری در تاریخ ۲۰ فوریه به فیسبوک اطلاع داده شد و در همان روز، یک وصلهی امنیتی در سیستم داخلی فیسبوک اعمال شد. این وصله که نسخههای ۲۰۱۹٫۰۲٫۲۵٫۰۰ و بعد از آن را شامل میشود، پنج روز بعد بر روی وبسایت گیتهاب نیز بهصورت عمومی منتشر شد. از طرفی، با اعلام شرکت Semmle مبنی بر اهدای پاداش خود به یک مؤسسهی خیریه، شرکت فیسبوک نیز مبلغ آن را دو برابر کرد.
