Facebook Messenger krijgt unsend optie (u hebt 10 minuten)
Facebook rolt de unsend hebben het beloofd April jl.
Onderzoekers hebben een kwetsbaarheid in de open-source Facebook Fizz project dat is relatief eenvoudig te activeren voor de toepassing van een denial-of-service (DoS) – aanval.
Facebook Fizz is een open-source TLS 1.3 library geschreven in C++ 14. TLS is een van de nieuwere versleuteling standaarden voor het Internet beschikbaar en is ontworpen om de opvolger van SSL. TLS implementeert sterkere encryptie standaarden en heeft ook verwijderd te ondersteunen voor oudere, minder veilige algoritmes.
Als ZDNet heeft eerder gemeld, Facebook Fizz is open-source in augustus 2018. Het systeem biedt een verbeterde functionaliteit voor middlebox handdruk storingen en ondersteunt asynchrone I/O standaard.
De sociale netwerken reus, die gebruik maakt van het systeem op zijn eigen interne en externe infrastructuur, beweert dat Fizz ook vermindert het geheugen en de CPU problemen.
Volgens onderzoekers van de Semmle, een “kritische” bug in het project legde de software open voor DoS-aanvallen.
De kwetsbaarheid CVE-2019-3560, werd ontdekt door Kevin Achterhuis van de Semmle Security Research team. Hij ontdekte een integer overflow in een 16-bit unsigned aanvulling door middel van smetanalyse die kunnen worden benut om een oneindige lus in Fizz, waardoor het creëren van de noodzakelijke voorwaarden voor een DoS-aanval.
Zie ook: Key takeaways van de verdoemende het verenigd koninkrijk op Facebook de wereld van de “digitale gangsters”
“Fizz is geschreven in een moderne C++ – stijl, dus het is waarschijnlijk niet iets als een buffer overflow, die zo vaak in oudere C-projecten,” Achterhuis zei. “Dat is waarom ik QL query voor integer overflows in de plaats. De overloop vond ik de oorzaken van de code invoeren om een oneindige lus, die kan worden gebruikt voor het starten van een denial of service-aanval.”
Een DoS-aanval uitgevoerd tegen Fizz kan voorkomen dat de service niet beschikbaar zijn voor rechtmatige gebruikers maar zou niet resulteren in enige ongeautoriseerde toegang tot de gegevens.
CNET: gezichtsherkenning kan de snelheid van je door de beveiliging van de luchthaven, maar er is een kosten
Semmle de bug gemeld door de Facebook Witte Hoed programma op 20 februari 2019, en de beveiliging lek was “onmiddellijk vast” op Facebook interne servers. Een patch is gemaakt en doorgezet naar GitHub op 25 februari. Een fix is ook opgenomen in Fizz versie 2019.02.25.00 en later.
De bevindingen resulteerden in een bug bounty award van de social networking gigant. Semmle ontvangen van $10.000, een vergoeding die wordt verdubbeld en gedoneerd aan goede doelen en non-profit organisaties.
TechRepublic: Beveiligingslek in Android Direct Apps kan worden gebruikt om te stelen geschiedenis, authenticatie tokens
Facebook zei: “denial of service-problemen worden meestal niet beschouwd als een onderdeel van onze bug bounty’ programma, dit indiening besproken scenario ‘s die kunnen aanzienlijke risico’ s.”
In gerelateerd nieuws, op donderdag Facebook toegelaten tot het opslaan van Facebook, Facebook Lite en Instagram gebruiker wachtwoorden in leesbare tekst. Terwijl het leesbaar formaat was intern gebruikt Facebook wil benadrukken is er geen bewijs dat dit niet aan te raden de praktijk heeft geleid tot het compromis van een user accounts.
Vorige en aanverwante dekking
Facebook: Wij zijn opgeslagen van honderden miljoenen uw wachtwoorden in platte tekst
Facebook geblokkeerd meer dan 1,2 miljoen Nieuw-Zeeland schieten van video ‘ s uploaden
Facebook sloeg over geheime app die de moeite waard is voor tieners gegevens
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters