* Marvel Rivals* Anın en büyük oyunlarından biridir. Ücretsiz, 6 oyuncudan oluşan iki takımın Marvel süper kahramanlarını somutlaştırarak arenalarda yarışmasına izin verir. Başarı muazzam, ancak oyun güvenlik tarafındaki tüm güvenlikten yoksun değil.
Geçen Aralık'ta başlatıldı, Marvel rakipleri Her zaman çok popüler kalır: aynı anda bağlanan 230.000 buhar oyuncusunu aşar ve bu konsol sürümlerini saymadan. Böyle bir başarı korsanları çekebilir ve maalesef oyun güvenlik tarafında kusursuz değildir.
Büyük başarı, muazzam güvenlik açığı
Güvenlik Araştırmacısı ve YouTubeur, Shalzuth, istismar edilirse, bir bilgisayar korsanının kurbanının PC'sine kötü amaçlı kod enjekte etmesine, gizli verileri çalmasına veya hatta tehlikeli yazılım yüklemesine izin verecek bir kusur buldu. . Başka bir deyişle, bilgisayar korsanı, araştırmacıya göre uzak bilgisayarın (ve hatta bir PS5) tam kontrolünü alabilir.
Oynarken Shalzuth onu ilgilendiren bir şey fark etti: Oyun mağazası müşteriyi güncellemeden serinliyor. Yama sistemini analiz ederek, oyunun harici kodun yürütülmesine izin verdiğini ve bir hedef cihazda keyfi kodun uzaktan başlatılmasına izin veren RCE (uzaktan kod yürütme) saldırılarına kapı açtığını keşfetti.
Güvenlik açığı, bu güncelleme sisteminin sunucunun meşru olup olmadığını kontrol etmeden bilgisayarda kod çalıştırmasıdır. Aynı Wi-Fi ağındaki bir korsan, bu zayıflığı kötü amaçlı kod enjekte etmek ve bilgisayarın kontrolünü ele geçirmek için kullanabilir. Ve oyunun, bilgisayarın bağırsaklarına erişim sağlayan yönetici ayrıcalıklarıyla çalıştığı gerçeğiyle ağırlaşıyor.
https://www.youtube.com/watch?https://www.youtube.com/watch?
Araştırmacı, videosunda hatanın fizibilitesini gösteriyor: ofis bilgisayarı aslında dizüstü bilgisayarına sahip. Çalışması için hacker'ın kurbanıyla aynı Wi-Fi ağı tarafından kapsanması hala gereklidir; İkincisi bir kamu ağ kullanıyorsa (kahve, üniversiteler, mola sırasında bile).
Kimseyi denememenin gizli hikayesine karşı savunmasızlığın ayrıntılarını tutan Shalzuth, oyun geliştiricisi Netease'i uyarmanın çok karmaşık olduğu için pişmanlık duyuyor. Kusurun hızlı bir şekilde düzeltileceğine dair bir onay yoktur. Daha genel olarak, bu, geliştiricilerin bir güvenlik kusurunun keşfedilmesi durumunda nadiren hata av programları veya sistemleri kurdukları video oyunu sektöründe ciddi bir sorundur.
Geçen Aralık'ta başlatıldı, Marvel rakipleri Her zaman çok popüler kalır: aynı anda bağlanan 230.000 buhar oyuncusunu aşar ve bu konsol sürümlerini saymadan. Böyle bir başarı korsanları çekebilir ve maalesef oyun güvenlik tarafında kusursuz değildir.
Büyük başarı, muazzam güvenlik açığı
Güvenlik Araştırmacısı ve YouTubeur, Shalzuth, istismar edilirse, bir bilgisayar korsanının kurbanının PC'sine kötü amaçlı kod enjekte etmesine, gizli verileri çalmasına veya hatta tehlikeli yazılım yüklemesine izin verecek bir kusur buldu. . Başka bir deyişle, bilgisayar korsanı, araştırmacıya göre uzak bilgisayarın (ve hatta bir PS5) tam kontrolünü alabilir.
Oynarken Shalzuth onu ilgilendiren bir şey fark etti: Oyun mağazası müşteriyi güncellemeden serinliyor. Yama sistemini analiz ederek, oyunun harici kodun yürütülmesine izin verdiğini ve bir hedef cihazda keyfi kodun uzaktan başlatılmasına izin veren RCE (uzaktan kod yürütme) saldırılarına kapı açtığını keşfetti.
Güvenlik açığı, bu güncelleme sisteminin sunucunun meşru olup olmadığını kontrol etmeden bilgisayarda kod çalıştırmasıdır. Aynı Wi-Fi ağındaki bir korsan, bu zayıflığı kötü amaçlı kod enjekte etmek ve bilgisayarın kontrolünü ele geçirmek için kullanabilir. Ve oyunun, bilgisayarın bağırsaklarına erişim sağlayan yönetici ayrıcalıklarıyla çalıştığı gerçeğiyle ağırlaşıyor.
https://www.youtube.com/watch?https://www.youtube.com/watch?
Araştırmacı, videosunda hatanın fizibilitesini gösteriyor: ofis bilgisayarı aslında dizüstü bilgisayarına sahip. Çalışması için hacker'ın kurbanıyla aynı Wi-Fi ağı tarafından kapsanması hala gereklidir; İkincisi bir kamu ağ kullanıyorsa (kahve, üniversiteler, mola sırasında bile).
Kimseyi denememenin gizli hikayesine karşı savunmasızlığın ayrıntılarını tutan Shalzuth, oyun geliştiricisi Netease'i uyarmanın çok karmaşık olduğu için pişmanlık duyuyor. Kusurun hızlı bir şekilde düzeltileceğine dair bir onay yoktur. Daha genel olarak, bu, geliştiricilerin bir güvenlik kusurunun keşfedilmesi durumunda nadiren hata av programları veya sistemleri kurdukları video oyunu sektöründe ciddi bir sorundur.
Herhangi bir 01net haberini kaçırmamak için bizi Google News ve WhatsApp'ta takip edin.