Poważna luka odkryta we wszystkich grach Blizzarda

Dzień bez luki bezpieczeństwa dniem straconym! Czytając ostatnimi czasy media branżowe można odnieść wrażenie, że od dłuższego czasu bezpieczeństwo naszych danych stało się fikcją, bowiem co chwila na wierzch wychodzą kolejne, coraz poważniejsze luki w popularnym oprogramowaniu. Co prawda nie wszystkie mają kaliber Spectre i Meltdown, ale niestety nawet ta świadomość nie działa szczególnie uspokajająco. Jak się okazuje, zagrożenie może kryć się wszędzie; nie tylko w programach użytkowych, ale także w grach, czego dowodem jest wykrycie poważnej luki zaszytej w produktach firmy Blizzard. Gdyby została wykorzystana w ataku, jej ofiarą mogłoby paść 500 milionów użytkowników.

Zanim luka została załatana podatne były na nią praktycznie wszystkie gry w portfolio firmy Blizzard.

Meltdown i Spectre - Wszystko o lukach w procesorach Intel i AMD

Wspomniana luka ukrywała się we fragmencie kodu odpowiedzialnym za aktualizacje klienta gier firmy Blizzard. Pozwalała ona hakerowi przeprowadzenie ataku typu DNS rebinding, a w następstwie np. na instalację złośliwego oprogramowania na komputerze ofiary czy włamanie się do innych komputerów podłączonych do tej samej sieci. Mówimy o niej w czasie przeszłym, bo na całe szczęście Blizzard wyeliminował ją w ostatnich łatkach. Zanim to jednak nastąpiło na atak podatne była większość gier firmy, w tym m.in. Overwatch, Hearthstone, StarCraft II i World of Warcraft. Na całe szczęście nic nie wskazuje na to, żeby luka miała być w przeszłości wykorzystana w praktyce.

All Blizzard games (World of Warcraft, Overwatch, Diablo III, Starcraft II, etc.) were vulnerable to DNS rebinding vulnerability allowing any website to run arbitrary code. https://t.co/ssKyxfkuZo

— Tavis Ormandy (@taviso) 22 stycznia 2018

Blizzard oferuje StarCraft II: Wings of Liberty za darmo

Lukę załatano, możemy spać spokojnie i na tym koniec historii? No właśnie nie do końca. Choć w przypadku gier Blizzarda temat jest już zamknięty (acz też nie do końca, bo firma ma pracować nad nowym, bardziej skutecznym rozwiązaniem problemu), to w przyszłości o podobnych historiach z udziałem gier komputerowych możemy słyszeć częściej. Tavis Ormandy z Google Project Zero, który odkrył omawianą dzisiaj lukę, już zapowiedział wzięcie na warsztat kolejnych popularnych tytułów, z bazą graczy liczącą minimum 100 milionów użytkowników. Co uda mu się odnaleźć? Aż strach pomyśleć - w końcu temat bezpieczeństwa w grach był do tej pory bagatelizowany i sprowadzany głównie do zabezpieczeń antypirackich oraz przeciw cheaterom. Osobiście mam tylko nadzieję, że w kolejnym tego typu newsie nie będę musiał pisać o poważnej luce w kliencie Steam, bo chyba nikomu nie byłoby wtedy do śmiechu.