اخیراً یک آسیبپذیری بسیار حیاتی و مهم به نام Yahoobleed کشف شد که به نفوذگران اجازه میداد تصاویر را در ایمیلهای خصوصی کاربران یاهو مشاهده کنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به دنبال شناسایی آسیبپذیری Yahoobleed، شرکت یاهو تصمیم گرفت کتابخانه پردازش تصویر این شرکت با نام ImageMagick را کنار بگذارد.
کتابخانه ImageMagick متنباز بوده و به کاربران این امکان را میدهد تا اندازه تصاویر را تغییر داده، آنها را برش بزنند و یا تغییرات دلخواه را بر روی تصاویر اعمال کنند. این کتابخانه توسط زبانهای برنامهنویسی مانند پیاچپی، پایتون، روبی، پرل، C++ و سایر زبانها پشتیبانی میشود.
این کتابخانه پردازش تصویر، سال قبل با کشف یک آسیبپذیری روز-صفرم به نام ImageTragick در صدر خبرها قرار گرفت. بهرهبرداری از این آسیبپذیری به یک مهاجم اجازه میداد با بارگذاری تصاویر جعلی و مخرب، بر روی کارگزار وب به اجرای کد دلخواه خود بپردازد.
هفته گذشته یک محقق امنیتی یک بهرهبرداری ۱۸ بایتی را بهطور عمومی نشان داد که نفوذگران با استفاده از آن میتوانند به ضمیمههای تصویری در رایانامههای یاهو دسترسی داشته و آنها را افشا کنند.
بهرهبرداری که این محقق امنیتی بهطور عمومی منتشر کرد از یک آسیبپذیری در کتابخانه ImageMagick استفادهمیکند. این آسیبپذیری Yahoobleed #۱ نامگذاری شد، چرا که این آسیبپذیری باعث شد هرچه که در دلِ حافظهی کارگزار قرار داشت بیرون بریزد. این آسیبپذیری صرفاً در فرمت تصویری RLE وجود دارد. برای بهرهبرداری از این آسیبپذیری، مهاجم باید پروندههای جعلی RLE را تولید کرده و به سمت آدرس ایمیل قربانی ارسال کند. در ادامه نیز با ایجاد حلقهای از دستورات خالی RLE میتواند محتوای حافظهی کارگزار را استخراج کند.
برای نشان دادن عملیاتی بودن این حمله، این محقق امنیتی بهرهبرداری تصویری به طول ۱۸ بایت را ایجاد و آن را در قالب یک ضمیمه برای آدرس رایانامهی خود ارسال کردهاست. وقتی این ایمیل و تصویر مخرب در حساب نامه او دریافت شد، کتابخانه ImageMagick شروع به پردازش تصویر میکند تا پیشنمایش و حالت بندانگشتی آن را نمایش دهد ولی کد مخربی که این محقق نوشته است، باعث میشود تا یک تصویر خراب نمایش داده شود.
وقتی قربانی بر روی تصویر کلیک میکند حالت پیشنمایش نشان داده شده و به جای تصویر ارسالی مهاجم، تصویری که در حافظه کارگزار وجود داشت نمایش دادهمیشود. برخلاف آسیبپذیریهای Heartbleed و Cloudbleed که در اثر لو رفتن محتوای حافظه خارج از محدوده رخ میدهد در آسیبپذیری Yahoobleed برای افشا و لو رفتن اطلاعات از مقادیر مقداردهی نشده و قبلاً آزاد شده استفاده میشود.
پس از اینکه این محقق امنیتی بهرهبرداری ۱۸ بایتی خود را برای شرکت یاهو ارسال کرد، این شرکت علاوه بر وصله آسیبپذیری تصمیم گرفت این کتابخانه را کنار بگذارد. این محقق امنیتی همچنین در مورد نسخهای دیگر از این آسیبپذیری با نام Yahoobleed2 هشدار داد که در اثر شکست در نصب بهروزرسانیهای ژانویه سال ۲۰۱۵ میلادی به وجود میآید. او اعلام کرد بهرهبرداری موفق از این آسیبپذیری به نفوذگران اجازه میدهد تا کوکیهای مرورگرها، رمزوارههای احراز هویت و تصاویر را از حسابهای ایمیل کاربران یاهو به سرقت ببرند.
درحالحاضر سرویسهای معروف دیگری که از کتابخانه ImageMagick استفاده میکنند در معرض خطر قرار دارند و ضروری است هرچه سریعتر وصلههای منتشر شده را اعمال کنند.
این محقق امنیتی برای گزارش این آسیبپذیری ۱۴ هزار دلار جایزه از شرکت یاهو دریافت کرد. بهعبارت دیگر او بهازای هر بایت از بهرهبرداری، ۷۷۸ دلار سود کردهبود. یاهو وقتی متوجه شد این محقق جایزه خود را به خیریه اهدا کردهاست، مقدار جایزه را به دو برابر کرد و به او ۲۸ هزار دلار پاداش داد.