YahooのPolyvoreはImageMagickの脆弱性に脆弱で、研究者はほとんど報酬を受け取らない

[更新18.54GMT:説明を更新しました。]

米連邦捜査局(FBI)は、Crackasのメンバーを逮捕し、米国の公職者をハッキングする姿勢を示している; WordPressは、ユーザーに重要なセキュリティホールを修正するように今更新するよう促し、連邦最高情報セキュリティオフィサーをホワイトハウスが任命する。

ヤフーは、Yahooが所有する企業ドメインにImageMagickの脆弱性が存在することを明らかにしたセキュリティ研究者に報酬として2,000ドルを支払った。

Security Weekによると、ImageMagickの脆弱性は、昨年Yahooが買収したコミュニティベースのソーシャルコマースプラットフォームPolyvoreにも存在していた。

セキュリティ欠陥、CVE-2016-3714は、研究者によって「ImageTragick」と呼ばれています。オープンソースソフトウェアImageMagickは、画像処理やウェブ上でのアップロードに使用される重要なライブラリで、この脆弱性を悪用してプログラムを悪意のあるコードに欺くことができます。

攻撃者がイメージとして装飾された悪意のあるファイルをアップロードすると、Webサイトをハイジャックし、マルウェアを配布したり、情報を盗むことができます。

ImageMagickは無数のWebサイトで使用されているため、欠陥の影響の重大度は高いです。

Cloudflareの研究者は、今週、サイバー攻撃者はすでにImageTragickの勢いに乗り込んでおり、この脆弱性を悪用キットにまとめ、CVE-2016-3714を特定のドメインに対する標的攻撃に使用していると語った。

Yahooの場合、同社も平手打ちしている。

セキュリティ研究者のBehrouz Sadeghipourは、この脆弱性がPolyvoreに属するWebドメインに存在し、最近Yahooのバグバウンティプログラムに追加されたことを発見しました。

5月4日にYahooに通知し、その技術ジャイアントにPoC(proof-of-concept)の例を証拠として渡した後、この脆弱性は数時間以内に修正された。

Sadeghipourは、彼の努力のために2,000ドルを授与されたが、研究者は、問題の範囲のために、報酬が高くなっていたはずであると考えている。

Yahooは、研究者によって提出されたハイリスクの脆弱性に対して最大15,000ドルを提供しています。これは面白いケースです。既に欠陥が公表されていて、別のセキュリティ専門家によって発見されたものですが、この欠陥の潜在的な影響を無視することはできません。

1つのシステムがハイジャックされると、インフラストラクチャやクロスサイトの資格情報などの機密データが盗まれたかどうかによって、攻撃者はYahooのメインドメインに向かう可能性があります。

Yahooは報酬が欠陥の「深さと影響」を含むいくつかのパラメータに基づいていると語った。

アップルはサーバ側でSiriのロック画面のバイパスセキュリティの欠陥を修正するバグの賞金:研究者のキャッシュを提供する企業、サイバー攻撃者はAdobe Flashゼロデイの脆弱性を脆弱性キットの統合、Webを使って海賊を止めたい彼らは払う

ImageMagickを使用しているウェブマスターは、ソフトウェアを最新のリリースに更新する必要があります。

ヤフーは間違いなく、バードバウンティ報酬を一度申し出たが、例えば、2013年には2つのYahooドメインに影響を及ぼすクロスサイトスクリプティングの脆弱性を公開するために25ドルのバウチャーを1組の研究者に提供した。ハイテクジャパンのHackerOneベースのバグバウンティプログラムに参加し、160万ドルを超える報酬が支払われました。

ウェブサイトはヤフーに届きました。私たちが耳を傾けると更新されます。

読んでください:トップピック

セキュリティ、再考セキュリティの基礎:どのようにFUDを超えて移動するために、イノベーション、?M2M市場は、ブラジルで復活、セキュリティ、セキュリティ、データ侵害を確認する方法(そして、なぜあなたが本当に “pwned” FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

データの破損を確認しないでください(そしてなぜあなたが本当にあなたが “pwned”になってほしいか)。

セキュリティの基礎を再考する:FUDを超えて移動する方法

M2M市場はブラジルに戻ってくる

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した