Hellendoorn Rally 2019 | Subaru Impreza Ger Haverkate & Ingrid Wolves
Innehållsförteckning:
Användare av Origin, speldistributionsplattformen för Electronic Arts (EA), är sårbara för fjärrkontrollen för exekvering av kod genom ursprung: // URL, enligt två säkerhetsforskare.
Luigi Auriemma och Donato Ferrante, grundarna av det Malta-baserade säkerhetsrådgivningsföretaget ReVuln, avslöjade säkerhetsproblemet förra veckan under ett samtal på Black Hat Europe 2013-konferensen i Amsterdam.
Sårbarheten tillåter angripare att utföra godtycklig kod på Origin-användare "datorer genom att lura dem på att besöka en skadlig webbplats eller klicka på en speciellt utformad länk, sa forskarna.
[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]Kommandoradsalternativ möjliggör intrång
När Origin-klienten är installerad på en dator registrerar sig sig som handhavare för ursprung: // protokolllänkar som används för att starta spel - inklusive kommandoradsalternativ - eller att initiera andra åtgärder via klienten.
Vissa spel har kommandoradsalternativ som tillåta laddning av ytterligare filer. Exempelvis visade forskarna ursprungslänkangreppet mot det nya "Crysis 3" -spelet, som stöder ett kommandoalternativ som kallas openautomate.
Openautomate är en funktion som gör att användarna kan testa grafikkortets prestanda i "Crysis 3" med hjälp av referensramen för Nvidia. Kommandot följs av sökvägen till en DLL-fil (dynamisk länkbibliotek) som sedan laddas av Crysis 3-processen.
Forskarna hittade ett sätt att skapa upphov: // länkar som instruerar Origin-klienten att öppna " Crysis 3 "med kommandot openautomate följt av en sökväg till en skadlig DLL-fil värd för ett nätverk eller WebDAV-del. Ett separat kommandoalternativ kan inkluderas i webbadressen för att göra "Crysis 3" öppet tyst i bakgrunden utan att användarna ser några fönster.
Attackers kan då lura användare att besöka en webbplats som innehåller en del JavaScript-kod som tvingar sina webbläsare att öppna den specialtillverkade länken.
När ett ursprung: // länk öppnas för första gången i en webbläsare, kommer användarna att fråga om de vill öppna den med Origin-klienten, som är den registrerade hanteraren för denna typ av URL. Vissa webbläsare kommer att visa hela URL-sökvägen eller en del av den, medan andra webbläsare inte alls visar webbadressen, sa forskarna.
Bekräftelsespelanden som visas av webbläsare ger användarna möjlighet att alltid öppna ursprung: / / länkar till Origin-klienten. De flesta spelare har förmodligen redan valt det här alternativet, så att de inte störde med bekräftelsesdialogrutor varje gång de klickar på en ursprungslänk, vilket betyder att för dem kommer attacken att vara helt genomskinlig, sa forskarna.
I likhet med ångbrist
Sårbarheten är nästan identisk med en som hittades av samma forskare förra året i Valves Steam online-speldistributionsplattform. Denna fel tillåter missbruk av ånga: // protokoll länkar på samma sätt.
Ångproblemet rapporterades i oktober 2012 men har ännu inte fastställts, sa forskarna. Att fixa det skulle troligtvis kräva stora förändringar på plattformen, eftersom det beror på en designfel, sa de. Forskarna förväntar sig inte att EA fixar problemet med ursprungslänk någon gång snart heller.
Attacken är inte begränsad till "Crysis 3." Det fungerar också för andra spel som har liknande kommandoradsfunktioner eller vissa lokala sårbarheter, sa forskarna. Felet ger väsentligen ett sätt att fjärransluta funktioner eller säkerhetsproblem som annars annars bara skulle utsättas för lokala attacker, säger de.
Auriemma och Ferrante avslöjar aldrig de sårbarheter de finner för de berörda programvaruleverantörerna, så de varnade inte EA om felet innan den presenteras på Black Hat.
Forskarna publicerade en vitbok på deras hemsida som förklarar problemet mer detaljerat och föreslår ett sätt att mildra attackerna. Minskningen innebär att du använder ett specialverktyg som heter urlprotocolview för att inaktivera ursprunget: // URL.
Biverkningen av att göra detta är att starta spel med hjälp av skrivbordsgenvägarna eller deras körbara filer inte längre fungerar. Användarna kan dock fortfarande starta spelen från Innehållsklienten.
Mindre än 24 timmar efter Michael Jacksons död utnyttjar bedrägerier allmänhetens intresse med sina försök att sprida skräppost och skadlig kod. Säkerhetsforskare säger att de har observerat hundratals fall av skadliga meddelanden masquerading som information om Jacksons död. Några av dem, säger de, dyker upp inom några minuter av nyheten.
Att undvika dessa hot är dock inte svårt, men det är bara en fråga om att stanna ett steg framåt. Här är några av angrepparnas taktik och vad du kan göra för att bli fallande offer.
Säkerhetsforskare tror att En oöverträffad fel i SMB (Server Message Block) 2-programvaran som skickas med Windows Vista och Windows Server 2008 kan bli en allvarlig huvudvärk.
Bevis på konceptkod som visar hur felet skulle kunna hanteras för att krascha en Windows-maskin har skrivits ut
En annan Java-fel utnyttjas, varnar säkerhetsforskare
En ny exploatering för en tidigare okänd och oöverträffad Java-sårbarhet används aktivt av attacker för att infektera datorer med skadlig kod, enligt forskare från säkerhetsföretag FireEye.