По сообщению Тэвиса Орманди, исследователя безопасности Google, все игры Blizzard имеют потенциальную уязвимость, благодаря которой, в теории, абсолютно любой сайт после повторной привязки DNS способен запускать произвольный код.
Все игры Blizzard устанавливаются вместе с “Blizzard Update Agent”. Данная утилита создает сервер RPC JSON, который прослушивает локальный порт, и принимает команды для изменения настроек, обновления и других связанных с обслуживанием параметров. Blizzard используют собственный аутентификатор для проверки подлинности запросов, но некоторые параметры передаются без использования токена, что и позволяет отправлять запросы с помощью XMLHttpRequest().
По словам Орманди, Blizzard уже знают об уязвимости, но уязвимость все еще существует. В настоящее время компания готовит более комплексное решение проблемы.
Войдите чтобы оставить комментарий.
ВойтиЕще не зарегистрированы? Регистрация здесь.