Tavis Ormandy, ein Sicherheitsexperte bei Google, hat eine schwere Sicherheitslücke im Blizzard-Launcher nachgewiesen. Offenbar war es für Websites möglich, per DNS Rebinding jeglichen beliebigen Code auf Client-Rechnern auszuführen.
Link zum Twitter-Inhalt
Hier hat Tavis Ormandy den Fund dokumentiert und stellte dann fest, dass Blizzard der Sicherheitslücke mit einer Blacklist für gängige Internetbrowser begegnen wollte.
Zum Thema: Blizzard - Aktuell beliebtester Arbeitgeber in der Spielebranche
Anfällig für DNS Rebinding?
Zudem beklagte er, dass Blizzard ab diesem Zeitpunkt die Kommunikation mit dem Google-Mann abbrach. Zunächst hatte der Overwatch-Entwickler noch geantwortet. Nachdem Ormandy aber auch die Blacklist-Maßnahme aufdeckte, meldete sich schließlich doch wieder ein Blizzard-Mitarbeiter zu Wort.
"Blizzard hier. Wir haben jetzt einen robusteren Header-Whitelist-Fix in der Qualitätssicherung und werden ihn in Kürze ausliefern. Der ausführbare Blacklist-Code ist alt und war nicht als Lösung dieses Problems vorgesehen. Wir stehen in Kontakt zu Tavis, um Fehlkommunikation in Zukunft zu vermeiden."
Der Blacklist-Fix war insofern unzureichend, als dass Nutzer eines nicht genannten Browsers die Sicherheitslücke weiterhin hätten verwenden können. Nun versprach Blizzard aber einen effektiven Fix für das Problem und gelobte Besserung beim Kommunikationsverhalten.
DNS Rebinding ist ein Cyberangriff, bei dem bösartige Websites Client-seitige Scripts ausführen können und so Geräten innerhalb des Netzwerks Schaden zufügen können. Eine klaffende Sicherheitslücke dieser Dimension wäre in der Tat ein erhebliches Versagen seitens Blizzard. Ob und wenn ja, wieviele Client-Systeme möglicherweise zum Ziel von Angriffen geworden sind, ist aktuell völlig offen.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.