Spelutvecklaren utvecklar sig för att fixa pokerspelbrister

En programvaruutvecklare planerar att genomföra en lösning i veckan för en sårbarhet som nyligen upptäckts av två säkerhetsforskare som analyserade en av sina spelapplikationer.

B3W Group, med säte i Malta, sade att det hade identifierat det rotproblem som påpekades i en rapport som släpptes förra veckan av Luigi Auriemma och Donato Ferrante från ReVuln, en undersökning för sårbarhetsforskning som också är baserat på Malta.

B3W gör en rad spelprogramvara, inklusive den som används för online poker rum, även kända som skinn, för variationer av poker som Texas Hold'em, Omaha och Stud. Många pokerspel kräver att användarna laddar ner programvaran på sina datorer, som sedan interagerar med en webbtjänst för ett realistiskt spel i realtid.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

ReVulns rapport, som också tittade på produkter från företagen Microgaming och Playtech, fokuserade på pokersoftware eftersom den nedladdade klienten tillåter angripare att få en bra titt på en del av spelets programdesign.

AJ Thompson, strategidirektör för B3W, skrev i en mail till IDG News Service att spelare som använder programvaran inte har hackats under 12 års drift online. B3W tar "våra kunders säkerhet extremt allvarligt", skrev han.

Forskarna fann att B3Ws programvara uppdaterar sig över en osäker HTTP-anslutning. Uppdaterade filer lagras utan digitala signaturer, och ".exe" -filer är inte verifierade före installationen. De hittade också problem med hur B3Ws programvara lagrar lösenord på en persons dator.

Branschstandarden för distribution av nya pokerklienter är via innehållsleveransnätverk, skrev Thompson. B3W använder en CDN från Fileburst.

Det är möjligt att använda en säker anslutning med Fileburst, men det digitalt signerade säkerhetscertifikatet skulle inte matcha det för den programvara som levererades, skrev Thomas. Men B3W har hittat en lösning för att leverera säkra uppdateringar.

"Vi har därför beslutat att flytta all klientuppdatering till våra egna datacenter över SSL [Secure Sockets Layer] med ett signerat certifikat som är betrodat av pokerklientkoden" Han skrev.

Ändringarna kommer att eliminera tre problem som ReVuln beskriver, inklusive de som kör runt om en obestämd fil, en katalogövergripande fråga och en stapelbaserad buffertöverföring, skrev Thompson.

B3W har inte bestämt sig för hur man hanterar lösenord som sparas av pokerklienten. Lösenord som inte lagras av en nyckellösenordskedja kan bara obfusceras, och att skapa ett lösenord för ett lösenord skulle vara mindre bekvämt för spelare, skrev Thompson.

"Vi har en byggnad av en klient som inte tillåter spara lösenordet, och vi överväger introduktionen av detta till kärnklientbyggnaden, "skrev Thompson.