Millionen PCs verwundbar: Forscher deckt Lücke in allen Blizzard-Games auf

    23. Jänner 2018, 11:38
    21 Postings

    Konzern arbeitet bereits an Lösung – Problem bei Client

    Ein Sicherheitsforscher des Google-Teams Project Zero hat eine Schwachstelle in sämtlichen Blizzard-Games aufgedeckt, die eine Übernahme von Millionen Rechnern möglich macht. Um Spiele wie "World of Warcraft", "Overwatch" oder "Diablo 3" zu spielen bedarf es nämlich eine Applikation namens "Blizzard Update Agent". Diese Anwendung läuft mittels JSON-RPC-Server über das http-Protokoll und Port 1120.

    Admin-Kommandos mittels JavaScript

    Die Anwendung erlaubt eine Vielzahl an Kommandos, etwa "Install", "Uninstall", "Change Settings" und "Update". Tavis Ormandy deckte auf, dass die Applikation anfällig für die Hacking-Methode "DNS Rebinding" ist. Dabei können Angreifer theoretisch Admin-Kommandos über den Client mittels JavaScript schicken und so Schaden anrichten.

    "Bizarre Lösung" von Blizzard

    Blizzard wurde im Dezember bereits von Ormandy kontaktiert. Daraufhin sorgte für der Konzern für eine "bizarre Lösung" laut dem Sicherheitsforscher. Nun machte Ormandy die Schwachstelle öffentlich und Blizzard reagierte prompt. Die Schwachstelle soll in Kürze geschlossen werden. Unterdessen will der Sicherheitsforscher auch bei anderen Games-Herstellern nachprüfen, ob die Lücke reproduzierbar ist. (dk, 23.01.2018)

    • Sämtliche Rechner mit Blizzard-Games können aufgrund einer Lücke in einer zugehörigen Anwendung aktuell übernommen werden. Aufgedeckt wurde die Lücke von einem Google-Sicherheitsforscher.
      foto: blizzard

      Sämtliche Rechner mit Blizzard-Games können aufgrund einer Lücke in einer zugehörigen Anwendung aktuell übernommen werden. Aufgedeckt wurde die Lücke von einem Google-Sicherheitsforscher.

    Share if you care.