Mamy dopiero początek 2018 roku, ale liczba poważnych luk i dziur ujawnionych w styczniu przytłacza. Zarówno kwestie hardware, jak i software pozostawiają wiele do życzenia i wielu producentów w pośpiechu wypuszcza łatki mające zapobiec atakom. Największym do tej pory problemem jest Meltdown i Spectre, które dotyczy praktycznie wszystkich procesorów wyprodukowanych na przestrzeni ostatnich 20 lat (więcej o tym przeczytacie tutaj). Ten wpis poświęcony jest jednak zupełnie innej kwestii. Okazuje się, że blisko pół miliarda osób grających w tytuły Blizzarda mogło być podatnych na ataki wykorzystujące Blizzard Update Agent – aktualizator aplikacji.
Odkrywcą błędu jest Tavis Ormandy, pracownik Google, który zajmuje się bezpieczeństwem. Problem dotyczy aplikacji Blizzard Update Agent[1], który jest dostarczany ze wszystkimi grami wspomnianej firmy (wliczając oczywiście topowe tytuły jak StarCraft 2, Diablo 3, Overwatch czy World of WarCraft).
All Blizzard games (World of Warcraft, Overwatch, Diablo III, Starcraft II, etc.) were vulnerable to DNS rebinding vulnerability allowing any website to run arbitrary code. 🎮 https://t.co/ssKyxfkuZo
— Tavis Ormandy (@taviso) January 22, 2018
Błąd został na szczęście załatany przez Blizzarda krótko po poinformowaniu przez Tavisa o ryzyku (co miało miejsce w grudniu). Niestety odkrywca wskazuje, że nastąpiło to po cichu i już zauważył pewne niedoskonałosci łatki. Osoby, które w tym czasie nie robiły aktualizacji powinny jak najszybciej uruchomić stosowną opcję w Blizzard Update Agent.
Na koniec warto poinformować, że w kolejce czekają kolejne gry z podatnościami. Szczegóły mają zostać podane wkrótce.
I plan to look at other games with very high install bases (100M+) in the coming weeks.
— Tavis Ormandy (@taviso) January 22, 2018
[1] https://www.bleepingcomputer.com/news/security/blizzard-fixes-dns-rebinding-flaw-that-put-all-the-companys-users-at-risk/
