Facebook выплатила 100 тысяч долларов за выявление нового класса уязвимостей

Специалистами разработана новая техника, которая позволяет фиксировать исключительные ситуации.

В рамках проводимой компанией Facebook программы Internet Defense Prize исследовательской группе из Технологического института штата Джорджия выплатили премию в размере 100 тысяч долларов за выявление нового класса уязвимостей, которые вызывают повреждение памяти, и разработку соответствующего механизма их обнаружения.

12 августа текущего года на симпозиуме USENIX Security Symposium было объявлено, что победителями программы стали двое студентов института Ли Бёнгён и Сун Чэнъюй, а также профессоры Ким Тхэсоо и Ли Вэнькэ. В рамках исследования специалистами был обнаружен новый класс уязвимостей в программах, написанных на языке C++.

Языком C++ поддерживаются несколько способов приведения типов, в частности, статический и динамический, с помощью которых можно осуществлять конвертацию одного типа данных в другой. Специалистами разработана новая техника, которая позволяет выявить исключительные ситуации (bad type cast), комбинируя статический и динамический анализ. Использование нового метода позволило экспертам найти девять исключительных ситуаций в библиотеке libstdc++и две – в браузере Firefox. Обнаруженные уязвимости уже устранены производителями.