圖片來源: 

臉書

一名安全研究人員發現臉書Fizz開源TLS函式庫專案存在重大阻斷服務(Denial of Service, DoS)漏洞。臉書獲得通報後也例外頒發1萬美元的抓漏獎金。

Facebook Fizz是臉書2018年將其內部使用的傳輸層安全性TLS 1.3協定函式庫Fizz開源出來的專案,頗受到開發人員歡迎。臉書自稱,超過50%的網頁流量以TLS 1.3確保安全。

安全廠商Semmle研究人員Kevin Backhouse今年2月利用「污點分析」(taint analysis)方法,以QL在該專案中發現編號為CVE-2019-3560的整數溢位漏洞,位於一段16-bit的未簽章程式碼中。研究人員發現該漏洞可被遠端駭客輕易開採,發動DoS攻擊造成Fizz無限迴圈,導致仰賴Fizz的任何基礎架構掛掉。這項漏洞因而被列為高度風險。不過基於臉書近來發生太多用戶個資外洩案例,研究人員強調,CVE-2019-3560並不會造成使用者資料遭未授權存取。

臉書於2月間接獲研究人員通報後,也迅速修補了該漏洞。目前該漏洞已在Fizz 2019.02.25.00以後的版本中獲得修復。

臉書的抓漏獎勵方案一般並未涵括DoS漏洞,但基於本重大安全漏洞的發現,臉書也破例頒發獎金10,000美元給這名研究人員。


Advertisement

更多 iThome相關內容