Компания Yahoo! выплатила ИБ-эксперту Крису Эвансу премию в 14000 долларов за эксплоит для уязвимости в ImageMagick, которая позволяла извлекать графические файлы из электронной почты пользователей сервиса после получения их с сервера корпорации.
Проблема получила название Yahoobleed #1 (YB1). Как утверждает Эванс, YB1 задействует неинициализированный буфер дешифровки изображений (uninitialized image decode buffer) как главный инструмент передачи графических файлов клиенту. Ввиду наличия уязвимости происходит утечка памяти со стороны сервера. По словам Эванса, применение уязвимости не провоцирует отказ в работе сервера.
Чтобы показать принцип действия атаки, эксперт сам себе прислал PoC-эксплоит размером в 18 байт, замаскированный под вложение к электронному письму. При открытии письма в почтовом сервисе Yahoo! Эванс кликнул по превью графического файла для того, чтобы активировать область предпросмотра изображения. Как утверждает эксперт, JPEG-файл, загруженный в браузере, содержал контент из неинициализированной области памяти.
Yahoo! ликвидировала уязвимость, заплатила Эвансу премию в 14000 долларов (сумма вознаграждения была удвоена после того, как эксперт заявил о желании потратить средства на благотворительные цели) и приняла решение о полном отказе от использования пакета ImageMagick, применяемого для обработки графических файлов.
