Kiekvieną kartą, kai skelbiu naują straipsnį apie „Electronic Arts“, dalis mano mirties. Šią savaitę (daugiau kaip šią valandą) kalbama apie EA tiesioginio atsisiuntimo klientą, Origin ir masyvi pažeidžiamumas, kuris kelia daugiau nei 40 mln.
Praėjusį penktadienį Amsterdame vykusio „Black Hat“ renginio dalyviai pripažino ir demonstravo išnaudojimą įdiegdami kenksmingą programinę įrangą pažeidžiamuose kompiuteriuose. „Origin platforma leidžia kenkėjiškiems vartotojams išnaudoti vietinius pažeidžiamumus ar ypatybes, piktnaudžiaujant„ Origin URI “tvarkymo mechanizmu,„ ReVuln “tyrėjai Donato Ferrante ir Luigi Auriemma išsamiai apibūdino renginio metu. Įprastiniais terminais vartotojas pasiekia žaidimą URI, o „Origin“ perdanga yra apgaulinga, kai ji laikoma draugiška diegimo nuoroda. Deja, vietoj atsisiuntimo Mūšio laukas 3, palikote Battlefield: nužudyk savo GPU.
Pakeitus pagrindinio URI nuorodų kintamuosius, žaidimo pradžios komandos gali būti pakeistos instrukcijomis, dėl kurių kompiuteris įdiegia kenkėjišką programą. Ši technika veikia prieš įdiegtus žmones Crysis 3 ir kitų žaidimų įvairovė. Kiti metodai veikia prieš įrenginius su skirtingais pavadinimais.
Išnaudojimas yra ypač panašus į tą, kuris praėjusių metų pabaigoje paveikė „Steam“. Kiek galiu pasakyti, „Steam“ dar neturėjo pataisyti šios problemos savo architektūroje. Tai rodo, kad: išnaudojimas yra pernelyg sudėtingas išspręsti (abejotinas), arba kad saugumo rizika yra būtinas lošimas, ir abi bendrovės mano, kad URI sistemos nauda yra didesnė už problemas (išskirtinai labiau tikėtina, jei ne šiek tiek nusivylusi) ).
Prastas EA vis dažniau tampa žiniasklaidos dėmesio objektu, o atsargų ataskaitose nurodoma, kad įmonė lėtai nuskendo. Aš nesakau, kad turėtumėte atsisakyti laivo - netgi nesakau, kad EA negalės atsigauti nuo 2013 m. Pirmojo ketvirčio - bet aš esu sakydamas, kad „Origin“ bibliotekoje, EA, tikrai yra vietos kitam nemokamam žaidimui.
Juokauju. Dažniausiai.