Ein Google-Sicherheitsexperte hat eine Sicherheitslücke entdeckt, die alle Blizzard-Spiele und damit mehrere hundert Millionen Gamer betraf. Die Lücke wurde bereits Anfang Dezember von Tavis Ormandy entdeckt und an Blizzard gemeldet. Jetzt hat Ormandy die Details zur Lücke auch veröffentlicht. Ein Ausnutzen der Lücke erlaubte Angreifern, potentiell schädlichen Code auf den Rechnern der Gamer abzuspielen.
Von der Lücke waren alle Gamer betroffen, die irgendein Spiel von Blizzard auf dem Rechner installiert haben. Also etwa World of Warcraft, Overwatch, Starcraft oder Diablo 3. Dabei steckte die Lücke nicht in den Spielen selbst, sondern in der Anwendung „Blizzard Update Agent“. Diese war anfällig für sogenannte „DNS Rebinding“-Angriffe. Die Anwendung erstellt auf dem Rechner einen JSON RPC Server, der auf Kommandos des Localhost am Port 1120 lauscht. Über das Tool können Änderungen an den Spielen vorgenommen werden. Über einen „DNS Rebinding“-Angriff konnten Angreifer allerdings die Anwendung für ihre Zwecke missbrauchen.
Blizzard stopfte Lücke heimlich
Die Kommunikation zwischen dem Sicherheitsexperten Ormandy und Blizzard lief offenbar wenig harmonisch. Laut Ormandy wurde Blizzard von ihm Anfang Dezember 2017 über die Lücke informiert und es wurden erst rege Informationen ausgetauscht, ohne dass zunächst der Blizzard Update Agent aktualisiert wurde. Am 22. Dezember, so Ormandy in seiner Meldung zur Lücke, r eagierte Blizzard dann auf keine Mails mehr.
Blizzard verwendete “bizzare Lösung” und will nachbessern
Stattdessen habe Blizzard den Blizzard Update Agent mit einer „bizzaren Lösung“ gepatcht. Die neue Version trage die Versionsnummer 5996. Statt der von Ormandy vorgeschlagenen eleganten und einfachen Lösung, habe sich Blizzard für eine eher umständliche Lösung entschieden. Er zeigt sich auch etwas verärgert darüber, dass Blizzard ihn nicht über das Update informiert oder gar über die eingesetzte Lösung konsultiert habe.
Die Veröffentlichung der Informationen über die Lücke und die Kritik an Blizzard haben allerdings Wirkung gezeigt. Im gleichen Thread hat sich Blizzard zu Wort gemeldet. In dem Statement heißt es, dass bereits an der von Ormandy vorgeschlagenen „robusteren“ Schließung der Lücke gearbeitet werde und diese bald an die Gamer ausgeliefert werden soll. Die bisher verwendete unelegante Lösung sei nicht dauerhaft gedacht werden. „Wir sind mit Tavis in Kontakt um künftig derartige Missverständnisse zu vermeiden“, so Blizzard.
Autor: Panagiotis Kolokythas, Chefredakteur
Panagiotis "Takis" Kolokythas schreibt seit über 20 Jahren News, Ratgeber und Tipps zu fast allen IT-Themen.