Ein Sicherheitsforscher des Google-Teams Project Zero hat eine Schwachstelle in sämtlichen Blizzard-Games aufgedeckt, die eine Übernahme von Millionen Rechnern möglich macht. Um Spiele wie "World of Warcraft", "Overwatch" oder "Diablo 3" zu spielen bedarf es nämlich eine Applikation namens "Blizzard Update Agent". Diese Anwendung läuft mittels JSON-RPC-Server über das http-Protokoll und Port 1120.

Admin-Kommandos mittels JavaScript

Die Anwendung erlaubt eine Vielzahl an Kommandos, etwa "Install", "Uninstall", "Change Settings" und "Update". Tavis Ormandy deckte auf, dass die Applikation anfällig für die Hacking-Methode "DNS Rebinding" ist. Dabei können Angreifer theoretisch Admin-Kommandos über den Client mittels JavaScript schicken und so Schaden anrichten.

"Bizarre Lösung" von Blizzard

Blizzard wurde im Dezember bereits von Ormandy kontaktiert. Daraufhin sorgte für der Konzern für eine "bizarre Lösung" laut dem Sicherheitsforscher. Nun machte Ormandy die Schwachstelle öffentlich und Blizzard reagierte prompt. Die Schwachstelle soll in Kürze geschlossen werden. Unterdessen will der Sicherheitsforscher auch bei anderen Games-Herstellern nachprüfen, ob die Lücke reproduzierbar ist. (dk, 23.01.2018)