Yahoo dépense des milliers de dollars pour des failles graves


Yahoo a accordé des milliers de dollars à un couple de chercheurs qui ont réussi à trouver de graves vulnérabilités dans les systèmes de l'entreprise. Les chasseurs de primes ont publié des articles de blog au cours du week-end décrivant leurs résultats.

Un expert qui utilise le moniker en ligne "Th3G3nt3lman" a déclaré qu'il a reçu 5 500 $ de Yahoo pour une vulnérabilité d'exécution de code à distance dans Apache Struts 2. Le pirate informatique de chapeau blanc a découvert le défaut sur un sous-domaine Yahoo hébergeant une connexion Page pour un produit de marketing Selligent.

Le trou de sécurité est CVE-2017-5638, une vulnérabilité de Struts 2 que les acteurs malveillants ont commencé à exploiter en mars, peu après l'émission d'un patch. On a constaté que la faiblesse affecte les produits et les systèmes de nombreuses entreprises, y compris Cisco, VMware et AT & T.

Selon Th3G3nt3lman l'exploit initial publié pour CVE-2017-5638 n'a pas fonctionné sur le site Yahoo, mais il a trouvé un exploit différent sur Twitter – celui qui peut contourner Firewalls d'applications Web (WAF) – qui auraient pu être utilisés pour réaliser l'exécution de code à distance.

L'enthousiasme de la cryptographie et de la sécurité de l'information, Sam Curry, a également publié une publication sur le blog au cours du week-end décrivant une vulnérabilité critique dans un système appartenant à Yahoo. Contrairement à Th3G3nt3lman, qui a trouvé le défaut de RCE sur un domaine de Yahoo, Curry et un chasseur de primes connu en ligne comme "Dawgyg" a découvert un bug sur le site de streaming vidéo SnackTV, que Yahoo a repris à la fin de 2014 avec l'acquisition de Media Group One.

En plus d'une faible gravité …

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (No Ratings Yet)
Loading...

Amélie Nadeau

Formation en communication et en journalisme à Montpellier. Je suis en Freelance pour plusieurs sites thématiques et agences de médias. Spécialisée dans l'actualité généraliste, je me suis spécialisée dans l'actualité médicale.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Font Resize
Contrast