Facebook Messenger får unsend alternativ (du har 10 minuter)
Facebook rullar ut unsend har det lovade sista April.
Forskare har hittat en sårbarhet i open-source Facebook Fizz projekt som är relativt lätt att utlösa vid tillämpningen av en denial-of-service (DoS) attack.
Facebook Fizz är ett open-source TLS 1.3 bibliotek skrivet i C++ 14. TLS är en av de nyare kryptering standarder för Internet tillgängligt och har utformats för att vara efterföljaren till SSL. TLS genomför starkare kryptering standarder och har även tagit bort stödet för äldre, mindre säkra algoritmerna.
Som ZDNet har tidigare rapporterat, Facebook Fizz var öppen källkod i augusti 2018. Systemet ger förbättrad funktionalitet för middlebox handslag misslyckanden och stödjer asynkron I/O som standard.
Sociala nätverk jätte, som använder systemet på sina egna interna och externa infrastruktur, hävdar att Fräsa minskar också minne och CPU-problem.
Enligt forskare från Semmle, en “kritisk” bugg i projektet som öppen programvara för DoS-attacker.
Sårbarheten, CVE-2019-3560, upptäcktes av Kevin Backhouse av Semmle Security Research team. Han upptäckte ett heltalsspill i ett 16-bitars unsigned förutom genom bismak analys som skulle kunna utnyttjas för att skapa en oändlig loop i Fizz, för att därigenom skapa förutsättningar för en DoS-attack.
Se även: Viktiga hämtställen från fördömande STORBRITANNIEN rapport på Facebook: s värld av “digital gangsters”
“Fizz är skriven i en modern C++ stil, så det är osannolikt att något som en buffer overflow, som är så vanligt i äldre C-projekt,” Backhouse sagt. “Det är därför jag använt QL att fråga för heltalsspill i stället. Översvämningen jag hittade orsakar kod för att gå in i en oändlig slinga, som kan användas för att starta en denial of service-attack.”
En DoS-attack som utförs mot Fizz kan förhindra att tjänsten är tillgänglig för legitima användare, men skulle inte leda till någon obehörig åtkomst till data.
CNET: Ansiktsigenkänning kan snabba dig genom säkerhetskontrollen, men det är en kostnad
Semmle rapporterade felet genom Facebook Vit Hatt programmet den 20 februari 2019, och säkerhetsbrist var “fast omedelbart” på Facebook interna servrar. En patch skapades och knuffade till GitHub den 25 februari. En fix har också inkluderats i Fizz version 2019.02.25.00 och senare.
Fynden resulterade i en bug bounty-priset från sociala nätverk jätte. Semmle fick 10.000 sek, en avgift som är fördubblas och doneras till välgörenhet och ideella organisationer.
TechRepublic: Säkerhetsproblem i Android Omedelbar Apps kan användas för att stjäla historia, authentication tokens
Facebook sade att “förnekelse av problem med tjänsten är normalt inte anses som en del av vår bug bounty program, denna inlämning diskuterade scenarier som kunde ha haft betydande risk.”
I relaterade nyheter, på torsdag Facebook medgav att lagra Facebook, Facebook Lite och Instagram-användare lösenord i klartext. Medan läsbart format användes internt, Facebook är angelägen om att betona det finns inga bevis för att denna olämpligt praxis har lett till att den kompromiss för alla användarkonton.
Tidigare och relaterade täckning
Facebook: Vi som lagras hundratals miljoner ditt lösenord i klartext
Facebook blockerade över 1,2 miljoner Nya Zeeland videoklipp på ladda upp
Facebook smällde över hemliga app som betalar tonåringar för data
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter