エレクトロニック・アーツについての新しい記事を発行するたびに、私の一部は少し死にます。今週(今週のような)、それはEAの直接ダウンロードクライアント、Origin、そして 大規模な 4000万人を超えるユーザーが第三者による不正利用の危険にさらされる脆弱性。
アムステルダムで先週の金曜日に開催されたBlack Hatイベントの参加者は、脆弱なコンピュータに悪意のあるソフトウェアをインストールすることによる悪用を確認し、実証しました。 ReVulnの研究者Donato FerranteとLuigi Auriemmaは、「Originプラットフォームは悪意のあるユーザがOriginのURI処理メカニズムを悪用することでローカルの脆弱性や機能を悪用することを可能にする」と述べた。素人の言葉で言うと、ユーザーはゲーム内でURIにアクセスし、Originのオーバーレイはそれを使いやすいインストールリンクとして扱うことに騙されます。残念ながら、ダウンロードする代わりに バトルフィールド3、あなたは残しました 戦場:あなたのGPUを殺しなさい.
基礎となるURIリンクの変数を変更することで、ゲームを開始するためのコマンドを、代わりに悪意のあるプログラムをコンピュータにインストールさせる命令に置き換えることができます。テクニックはインストールしている人に対して有効です クライシス3 そして他の様々なゲーム。他の技術は、異なるタイトルがインストールされているマシンに対して機能します。
この悪用は、昨年末にSteamに影響を及ぼしたものと非常によく似ています。私が言うことができる限り、Steamは彼らのアーキテクチャの中でこの問題にまだパッチを当てていません。これは次のいずれかを示しています。悪用されて修正するには複雑すぎる(疑わしい)、またはセキュリティリスクが必要な賭けであること、および両社は懸念を上回るためにURIシステムの利点を考慮する(わずかに失望しない限り例外) )
貧弱なEAは最近ますますメディアの注目の的となっています、そしてストックレポートはゆっくりと沈んでいくベンチャーを示します。私はあなたが船を放棄すべきだと言っているのではありません - EAが2013年第1四半期から回復できないとは言っていません - しかし私は 午前 私のOriginのライブラリであるEAには、別の無料ゲームを入れる余地があるということです。
冗談だ。だいたい。