Tavis Ormandy, ein Sicherheitsexperte bei Google, hat eine schwere Sicherheitslücke im Blizzard-Launcher nachgewiesen. Offenbar war es für Websites möglich, per DNS Rebinding jeglichen beliebigen Code auf Client-Rechnern auszuführen.

All Blizzard games (World of Warcraft, Overwatch, Diablo III, Starcraft II, etc.) were vulnerable to DNS rebinding vulnerability allowing any website to run arbitrary code. ? https://t.co/ssKyxfkuZo — Tavis Ormandy (@taviso) January 22, 2018

Hier hat Tavis Ormandy den Fund dokumentiert und stellte dann fest, dass Blizzard der Sicherheitslücke mit einer Blacklist für gängige Internetbrowser begegnen wollte.

Anfällig für DNS Rebinding?

Zudem beklagte er, dass Blizzard ab diesem Zeitpunkt die Kommunikation mit dem Google-Mann abbrach. Zunächst hatte der Overwatch-Entwickler noch geantwortet. Nachdem Ormandy aber auch die Blacklist-Maßnahme aufdeckte, meldete sich schließlich doch wieder ein Blizzard-Mitarbeiter zu Wort.

"Blizzard hier. Wir haben jetzt einen robusteren Header-Whitelist-Fix in der Qualitätssicherung und werden ihn in Kürze ausliefern. Der ausführbare Blacklist-Code ist alt und war nicht als Lösung dieses Problems vorgesehen. Wir stehen in Kontakt zu Tavis, um Fehlkommunikation in Zukunft zu vermeiden."

Der Blacklist-Fix war insofern unzureichend, als dass Nutzer eines nicht genannten Browsers die Sicherheitslücke weiterhin hätten verwenden können. Nun versprach Blizzard aber einen effektiven Fix für das Problem und gelobte Besserung beim Kommunikationsverhalten.

DNS Rebinding ist ein Cyberangriff, bei dem bösartige Websites Client-seitige Scripts ausführen können und so Geräten innerhalb des Netzwerks Schaden zufügen können. Eine klaffende Sicherheitslücke dieser Dimension wäre in der Tat ein erhebliches Versagen seitens Blizzard. Ob und wenn ja, wieviele Client-Systeme möglicherweise zum Ziel von Angriffen geworden sind, ist aktuell völlig offen.