光环人工智能培训“魔兽宇宙”，“守望前卫”，“暗黑危害神3”，“炉石传说”和“星际争霸2”等由暴雪文娱公司缔造的时髦收集游戏，每月约有5亿灵活用户。

　　不日，谷歌Project Zero团队的白帽黑客Tavis Ormandy挖掘了暴雪游戏中的一个告急缺欠，再次成为头条消息，攻击者诈欺该缺欠可针对游戏玩家电脑完毕长途恶意代码推广。此缺欠使数百万估量机面对安详劫持，影响是惊人的。

　　假若要用收集浏览器正在线玩暴雪游戏，玩家只必要装置一个名为“Blizzard Update Agent”的客户端行使顺序，诈欺它来运转HTTP订交和1120端口的JSON-RPC供职，以便推广夂箢装置、卸载、筑树更改、更新和其他爱护闭联的选项手脚。

　　Ormandy称： “全数暴雪游戏都必要与‘Blizzard Update Agent’的共享用具一道装置，暴雪游戏每月5亿的灵活用户，应当都装置了这个用具。”

　　Ormandy默示，这个装置正在玩家体系中的Blizzard Update Agent，存正在一种名为“DNS Rebinding”（DNS重绑定）的缺欠，该缺欠答应任何网站充任表部供职器和本田主机之间的桥梁，这意味着任何网站都可能向代剪发送特权夂箢。

　　攻击者可能启动一个DNS Rebinding攻击来创筑一个DNS条件，将任何攻击者限度的网页与127.0.0.1绑定，拐骗用户访候它，这种身手使得黑客可能应用Java代码，向Blizzard更新代劳长途发送特权夂箢。

　　Ormandy正在2017年12月份向Blizzard呈文了这个缺欠，并鞭策暴雪公司尽速创造补丁省得玩家电脑体系受到影响。然而正在最初的疏通之后，暴雪正在12月22日逗留了疏通，不再答复任何询查。

　　“暴雪公司正在12月22日就骤然逗留了和我的邮件互换，他们不再答复我任何题目，但却寂然正在5996客户端中插足了一种奇妙的处分计划。”

　　“他们的处分计划彷佛是盘问客户端夂箢行，获取exename的32位FNV-1a哈希值，然后反省它是否正在黑名单中，我提议他们把主机名列入白名单，但明白该处分计划过于大略。暴雪正在欠亨告或商酌我的情景下就释出这个补丁，我极端不欣喜。“Ormandy称。

　　但当Ormandy正在此公然了该缺欠之后，暴雪公司却主动相闭他并声称，将会采纳更多宁静的主机白名单机造来修复该缺欠，闭联补丁正正在研发安置之中。返回搜狐，查看更多