Facebook пропатчила Fizz — свою реализацию протокола TLS - Proxy-Base Community - Анонимность и безопасность в интернете.
Бесплатные прокси. Количество:
Прокси для пользователей форума (API). Количество:
Купить доступ к прокси-листам (API). Количество:
 



Информация по хайдам / репутации

(РЕКОМЕНДУЮ) №1 >>>DDos Атака<<|>>DDoS Service<<< ДДОС СЕРВИС<<|>>Заказать DDOS
Все инфопродукты и приватная информация бесплатно
Старый 22.03.2019, 13:00   #1 (permalink)
VPN
 
Аватар для Proxy-Base-News
 
Регистрация: 16.09.2015
Сообщений: 1,852
Member ID: 35426

Репутация: 21
Репутация: 21
Сказал(а) спасибо: 0
Поблагодарили 7 раз(а) в 7 сообщениях
Топикстартер (автор темы) По умолчанию Facebook пропатчила Fizz — свою реализацию протокола TLS

Компания Facebook закрыла серьезный баг в*протоколе Fizz*— оригинальной реализации TLS с*открытым исходным кодом. Эксплуатация уязвимости позволяла удаленному злоумышленнику вызвать отказ в*обслуживании и*приводила к*сбою в*работе целевой системы. Баг обнаружили ИБ-специалисты компании Semmle, применившие запросы на*языке .QL для*моделирования атаки.

Fizz защищает каналы передачи данных в*веб-сервисах Facebook и*представляет собой один из*вариантов стандарта*TLS*1.3. В*августе прошлого года социальная сеть открыла исходный код проекта, что позволило сторонним разработчикам использовать его в*своих продуктах.

Как выяснили эксперты, недостатки в*реализации Fizz позволяют неавторизованному киберпреступнику удаленно инициировать бесконечный цикл, который полностью займет все ресурсы библиотеки и*сделает ее недоступной для*других пользователей. Баг зарегистрирован как CVE-2019-3560 и*затрагивает ряд мобильных приложений Facebook, проект Proxygen и*еще несколько сервисов, поддерживаемых социальной сетью. По*информации разработчиков Fizz, их реализация TLS*1.3 защищает примерно половину интернет-трафика, генерируемого платформой.

Аналитики отмечают, что Fizz написан «в*современном стиле C++» и*не*подвержен традиционным проблемам переполнения буфера, характерным для*подобных проектов. Чтобы найти уязвимость и*смоделировать ошибку целочисленного переполнения, ИБ-специалист Кевин Бэкхаус (Kevin Backhouse) применил язык запросов .QL, позволяющий извлекать информацию из*систем управления реляционными базами данных.

Исследователи сообщили о*своей находке в*Facebook 20*февраля 2019*года, а*уже 25*февраля вышел Fizz*2019.02.25.00, в*котором уязвимости закрыли.

В*данный момент все сервисы Facebook работают на*обновленной версии продукта и*защищены от*подобных атак. Сторонним разработчикам, использующим эту библиотеку, рекомендуется незамедлительно установить апдейт.

Несмотря на*то что DoS-уязвимости не*входят в*bug*bounty социальной сети, ИБ-специалисты получили $10*тыс. за*информацию об*этой проблеме. Система вознаграждения этичных хакеров в*Facebook*— одна из*самых эффективных в*мире. Только в*прошлом году независимые исследователи получили более $1*млн за*найденные в*платформе бреши. Как отмечают представители компании, общая сумма бонусов с*момента запуска программы в*2011*году составила $7,5*млн.

Источник: https://threatpost.ru/facebook-patch...dos-bug/31940/
Proxy-Base-News вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Обманувший Facebook и Google на $120 млн литовец признал свою вину Proxy-Base-News Новости IT 0 22.03.2019 13:00
[Покупка] Берем на реализацию ваши ssh zakidorex HTTP(S), SOCKS, VPN, SSH 2 14.02.2019 01:02
Ученые обнаружили уязвимость AKA-протокола мобильной связи Proxy-Base-News Новости IT 0 01.02.2019 23:10
Обнаружена уязвимость WPS протокола в WiFi сетях DRIFT Новости IT 0 13.01.2012 09:48




DDoS Protected




Мы в твиттере, Proxy-Base.Org Twitter

Proxy-Base Community - Анонимность и безопасность в интернете.
Наши партнеры: CRC Labs, SEO-Crack.Com, Garsuk.Com, SED Team, Skladchik.com, BSS Family

Powered by vBulletin® | Булка сделана в пекарне®
Copyright © 2000 - , Jelsoft Enterprises Ltd. Перевод: zCarot
Вся информация на сайте выложена исключительно в ознакомительных целях.