В GOG Galaxy полгода назад обнаружили критическую уязвимость, разработчики все еще не устранили ее

15.08.2020 22:54

В GOG Galaxy полгода назад обнаружили критическую уязвимость, разработчики все еще не устранили ее

Недавно jtesta, исследователь, занимающийся поиском эксплойтов в системах, сообщил об обнаружении критической уязвимости в клиенте GOG Galaxy. Данный эксплойт позволяет расширить свои права и получить административный доступ в системе, на которой установлен клиент.

Уязвимость кроется в GalaxyClientService. Данный сервис необходим для работы GOG Galaxy и устанавливается вместе с клиентом. Он запускается с административными привилегиями, поэтому когда jtesta осуществил DLL-инъекцию, то смог без труда заставить сервис создать в системе нового пользователями с административными правами.

Исследователь говорит, что он сообщил о наличии данной уязвимости еще в начале года, однако вместо устранения уязвимости, разработчики просто изменили ключ, которым подписываются команды для GalaxyClientService. По его словам, это бесполезно, так как ключ для подписи сообщений можно извлечь локально.
На данный момент уязвимость все еще не исправлена. jtesta подождал положенные 90 дней с момента последнего ответа разработчиков, не получил отчетов об исправлении и решил выложить полное описание уязвимости в открытый доступ. В своем последнем сообщении сотрудники GOG просили его придержать публикацию эксплойта на 3 месяца и дать им время на исправление, однако срок уже прошел, а уязвимость всё еще существует.

jtesta выложил описание эксплойта два дня назад, однако сотрудники GOG еще не давали комментариев по поводу того, сколько времени им понадобится на исправление и планируют ли они вообще что-либо предпринимать для ее устранения.

Источник

Следующая новость
Предыдущая новость

Кибернетический Локи в женском обличие и Сорвиголова с лазерным оружием. Новые обложки Marvel 2099 Ключи к бета‑тесту Valorant продают в сети. Riot грозит забанить покупателей Концепт-арты модификации Fallout London Раскрыты цены смартфонов Moto Z4 и Moto Z4 Force Официальные системные требования к ПК для Dirt 5

Лента публикаций