project zero dns rebinding blizzard
2018.02.06

Trudno nie odnotować potężnej wpadki kalifornijskiego Blizzarda. Producent szeregu gier, posiadający ponad 500 mln użytkowników, w swoich produktach miał potężną lukę.

Diablo, Overwatch, Hearthstone, StarCraft II czy World of Warcraft mają fanów na całym świecie, więc skala zagrożenia była potencjalnie ogromna.

Starzy znajomi w akcji

Co prawda, gry nie są w centrum zainteresowań Akademii, ale pewnie wielu z naszych Czytelników zna tytuły wydane przez Blizzarda. A problem był na tyle poważny, że postanowiliśmy o nim napisać.

Znów powołujemy się na Project Zero. Ten zespół, to jeden z największych pogromców różnego rodzaju dziur i podatności. W grudniu zeszłego roku, zespół zgłosił Blizzardowi, że ich gry zawierają niebezpieczną lukę. Pozwalała ona na przeprowadzenie ataku typu DNS rebinding i zainstalowanie złośliwego oprogramowania, jak również dostęp do innych komputerów w danej sieci.

Blizzard w kilku krokach lukę załatał, ale kłopot w tym, że równocześnie po prostu zignorował Project Zero, zaprzestając korespondencji z zespołem. Szczerze mówiąc, nie jest to najlepsze zagranie i źle świadczy o producencie.

Dobre obyczaje obowiązują

Praktyka informowania o znalezionych podatnościach w pierwszej kolejności producenta, jaką stosują wszyscy zajmujący się szukaniem luk, pozwala na załatanie dziury, zanim zostanie ona podana do publicznej wiadomości. Obrażanie się na specjalistów jest, powiedzmy, dziecinne.

Blizzard dostał 90 dni na naprawę błędu, ale ponieważ praktycznie odmówił współpracy, informację upubliczniono pod koniec stycznia. Podobna sytuacja miała miejsce ostatnio w przypadku Intela i słynnych podatności typu Meltdown i Spectre.

Te same luki w innych programach

Również niedawno ujawniono podobne problemy z klientem torrentów Transmission BitTorrent. Jeszcze wcześniej ten błąd znaleziono w portfelach Ethereum. Tavis Ormandy z Project Zero zapowiedział, że przyjrzą się również innym grom o liczbie użytkowników powyżej 100 tysięcy.

Czekamy na odkrycia. Być może w następnych miesiącach należy spodziewać się kolejnych doniesień. A może producenci gier już przeglądają swoje kody, żeby załatać dziury jak najszybciej i nie narażać się na publiczne wytykanie palcem.

 

 

 

Akademia Extel jest niekomercyjnym programem edukacyjnym kierowanym przede wszystkim do menadżerów i pracowników firm. O nowych artykułach informujemy poprzez newsletter. Napisz do nas