В популярном игровом движке Unreal для большинства OS обнаружено несколько опасных уязвимостей, позволяющих атакующему использовать игровые сервера для DDoS атак, перехватывать сеансы других пользователей и переполнять буфер. 

— Движок Unreal не использует установление связи между клиентом и сервером, так что нападающий может использовать игровой сервер для DoS и
DDoS нападений, используя поддельные UDP пакеты. 

— Движок Unreal использует ключи вызова, чтобы идентифицировать каждое соответствие, но почему-то сервер не управляет ключами в ответах клиента, и, кроме того, не выполняет другие проверки, чтобы запретить атакующему добавлять фальшивых игроков на сервере. 

— Движок Unreal недостаточно обрабатывает чрезмерно длинные отрицательные значения. Если атакующий использует отрицательные значения в сетевых пакетах, то Unreal сервер
потребит чрезмерное количество оперативной памяти, в результате чего работа сервера аварийно завершится. Если атакующий использует пакетные файлы, то он может просто выполнить произвольный код на уязвимом сервере, который запускает пакетный файл, потому что уязвимость в пакетном файле позволяет атакующему перезаписать EIP регистр и загрузить код произвольного размера в память. 

Также обнаружено несколько проблем в URL обработчике
unreal://…. 

Движок Unreal используется во множестве игр,
например:

— Star Trek: The Next Generation: Klingon Honor Guard
— Unreal
— The Wheel of Time
— Deus Ex
— Mobile Forces
— Rune
— Unreal Tournament
— Hired Guns
— Navy Seals
— TNN Outdoor Pro Hunter
— Werewolf
— X-Com: Alliance
— Adventure Pinball
— America’s Army
— Unreal Tournament 2003

и так далее.

Оставить мнение