В популярном игровом движке Unreal для большинства OS обнаружено несколько опасных уязвимостей, позволяющих атакующему использовать игровые сервера для DDoS атак, перехватывать сеансы других пользователей и переполнять буфер. 

- Движок Unreal не использует установление связи между клиентом и сервером, так что нападающий может использовать игровой сервер для DoS и
DDoS нападений, используя поддельные UDP пакеты. 

- Движок Unreal использует ключи вызова, чтобы идентифицировать каждое соответствие, но почему-то сервер не управляет ключами в ответах клиента, и, кроме того, не выполняет другие проверки, чтобы запретить атакующему добавлять фальшивых игроков на сервере. 

- Движок Unreal недостаточно обрабатывает чрезмерно длинные отрицательные значения. Если атакующий использует отрицательные значения в сетевых пакетах, то Unreal сервер
потребит чрезмерное количество оперативной памяти, в результате чего работа сервера аварийно завершится. Если атакующий использует пакетные файлы, то он может просто выполнить произвольный код на уязвимом сервере, который запускает пакетный файл, потому что уязвимость в пакетном файле позволяет атакующему перезаписать EIP регистр и загрузить код произвольного размера в память. 

Также обнаружено несколько проблем в URL обработчике
unreal://.... 

Движок Unreal используется во множестве игр,
например:

- Star Trek: The Next Generation: Klingon Honor Guard
- Unreal
- The Wheel of Time
- Deus Ex
- Mobile Forces
- Rune
- Unreal Tournament
- Hired Guns
- Navy Seals
- TNN Outdoor Pro Hunter
- Werewolf
- X-Com: Alliance
- Adventure Pinball
- America's Army
- Unreal Tournament 2003

и так далее.

Оставить мнение