Blizzard werkt aan een patch voor een door Google gevonden lek, dat volgens de ontdekker een website in staat stelt code uit te voeren met behulp van de Blizzard Update Agent. Een soortgelijk lek kwam onlangs in de torrentclient Transmission voor.

Dat lek werd gevonden door Google-onderzoeker Tavis Ormandy, die ook voor de ontdekking van het huidige lek verantwoordelijk is. Net als bij Transmission, maakt de onderzoeker gebruik van dns rebinding om zijn aanval uit te voeren. De Blizzard-updater accepteert namelijk rpc-commando's op localhost om bijvoorbeeld installaties en andere wijzigingen uit te voeren.

Door een doelwit dat de software heeft geïnstalleerd naar een speciale website te lokken, is het volgens Ormandy mogelijk om via die site met localhost te communiceren om zo commando's uit te voeren en bijvoorbeeld een exploit te downloaden. Ormandy heeft een proof-of-concept gepubliceerd.

Hij meldde het lek in december aan een bekende van hem bij Blizzard, zodat het 'in de juiste handen terecht zou komen'. In zijn bugrapportage uit Ormandy zijn ongenoegen over het feit dat Blizzard eind december stopte met communiceren en een in zijn ogen ontoereikende patch had doorgevoerd. Blizzard heeft inmiddels echter gereageerd en zegt dat het nog geen patch beschikbaar heeft gemaakt, maar dat het een oplossing in de vorm van een host header whitelist aan het afronden is.

De Project Zero-onderzoeker meldt via Twitter dat hij van plan is om ook andere games met veel spelers onder de loep te nemen. Hetzelfde zei hij over bittorrentclients, maar het is nog wachten op resultaten omdat Googles beveiligingsteam een deadline van negentig dagen hanteert.

Bron: Tweakers.com