Изображение к Все игры Blizzard имеют потенциальную уязвимость

По сообщению Тэвиса Орманди, исследователя безопасности Google, все игры Blizzard имеют потенциальную уязвимость, благодаря которой, в теории, абсолютно любой сайт после повторной привязки DNS способен запускать произвольный код.

Все игры Blizzard устанавливаются вместе с “Blizzard Update Agent”. Данная утилита создает сервер RPC JSON, который прослушивает локальный порт,  и принимает команды для изменения настроек, обновления и других связанных с обслуживанием параметров. Blizzard используют собственный аутентификатор для проверки подлинности запросов, но некоторые параметры передаются без использования токена, что и позволяет отправлять запросы с помощью XMLHttpRequest().

По словам Орманди, Blizzard уже знают об уязвимости, но уязвимость все еще существует. В настоящее время компания готовит более комплексное решение проблемы.

Комментарии Всего комментариев 0