披露Facebook Fizz項目DoS攻擊漏洞，獲例外獎金

一名安全研究人員發現臉書Fizz開源TLS函數庫項目存在重大拒絕服務（Denial of Service, DoS）漏洞。臉書獲得通報後也例外頒發1萬美元的漏洞挖掘獎金。

Facebook Fizz是臉書2018年將其內部使用的傳輸層安全性TLS 1.3協議函數庫Fizz開源出來的項目，頗受到開發人員歡迎。臉書自稱，超過50%的網頁流量以TLS 1.3確保安全。

安全廠商Semmle研究人員Kevin Backhouse今年2月利用「污點分析」(taint analysis)方法，以QL在該項目中發現編號為CVE-2019-3560的整數溢出漏洞，位於一段16-bit的未簽章程序代碼中。研究人員發現該漏洞可被遠程黑客輕易開採，發動DoS攻擊造成Fizz無限循環，導致依賴Fizz的任何基礎架構掛掉。這項漏洞因而被列為高度風險。不過基於臉書近來發生太多用戶個人信息外泄案例，研究人員強調，CVE-2019-3560並不會造成用戶數據遭未授權訪問。

臉書於2月間接獲研究人員通報後，也迅速修補了該漏洞。目前該漏洞已在Fizz 2019.02.25.00以後的版本中獲得修復。

臉書的漏洞挖掘獎勵方案一般並未涵蓋DoS漏洞，但基於本重大安全漏洞的發現，臉書也破例頒發獎金10,000美元給這名研究人員。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！