Google安全團隊Project Zero發現,全球擁有5億玩家的暴風雪(Blizzard),其更新代理應用程式暴雪Battle.net存在DNS重新綁定漏洞,可能導致玩家被駭客綁架瀏覽惡意網站,暴風雪已在第5996版暴雪Battle.net修正完成。

暴雪Battle.net是暴風雪的獨立桌面應用程式,用來安裝、更新暴風雪旗下遊戲,擁有儲值、販售遊戲及虛寶的功能,更新引擎還能接收指令更改設定或是執行維修等。暴雪Battle.net會建立JSON RPC伺服器監聽本地主機1120埠,並使用客製化認證格式以確保指令來自合法的來源,而網頁程式能用XMLHttpRequest()指令與本地主機主機溝通。

Google安全團隊Project Zero成員Tavis Ormandy表示,這樣的設計並不保險,DNS重新綁定可以讓任何網站輕易假冒成受信任的溝通對象,控制本地主機,也就是任何人都可以發送特權指令給暴雪Battle.net,駭客能夠發送下載請求給客戶端,並安裝Dll或是資料檔案等。Tavis Ormandy甚至寫了概念性驗證程式,證明他的猜想。

Tavis Ormandy在2017年12月初,透過在暴風雪工作的友人,告知暴雪Battle.net存在漏洞,暴風雪也在5996版的暴雪Battle.net修補了這個漏洞。Tavis Ormandy提到,暴風雪在12月22日後便不再回覆他任何的訊息,且修復漏洞的方法沒有採用他的提案,反而選擇了更加複雜的方式,修復完也沒有主動告知他,讓他感到很不悅。


Advertisement

更多 iThome相關內容