https://www.diablogame.de/media/content/news_blizzard_battle_net.jpg

Tavis Ormandy, Experte des Google-Teams «Project Zero», hat vor kurzem herausgefunden, dass im Blizzard-Update-Agent, welcher für die automatischen Downloads im Hintergrund zuständig ist, eine gewaltige Sicherheitslücke klafft.

Den Hackers sei es per DNS Rebinding relativ enfach möglich, JAVAScript Befehle auf entsprechenden PC-Systemen auszuführen. Der Update-Agent verfügt über weitreichende Berechtigungen. Demnach sind sogar Installationen bzw. Deinstallationen möglich - ohne dass der betroffene Benutzer etwas davon merkt.

Blizzard Entertainment hatte als erste Reaktion darauf per Hotfix eine Blacklist geschaltet, um schädliche Anfragen über den Update-Agent abzufangen. Das Entwicklerstudio arbeitet mit Hochdruck an einer handfesteren Lösung, die im Zuge eines Updates eingeführt werden soll.

Raistlin, 24.01.2018, 16:58 Uhr Facebook