Forscher warnen, dass beliebtes Gaming-Plug-in Millionen von Internetnutzern durch Datendiebe gefährdet ist

UPDATE, 5:45 PDT: Laut Unity Technologies wurden die zu den Sicherheitsanfälligkeiten führenden Codepfade identifiziert dass es geplant war, am Freitag Korrekturen zu veröffentlichen. "Updates über den Fortschritt bei der Veröffentlichung werden in unserem Blog veröffentlicht", sagte das Unternehmen. Hier ist der Hauptblog.

ORIGINAL STORY:

Ein Forscher warnt, dass ein auf über 200 Millionen PCs installiertes Spiele-Plug-in einen Fehler enthält, durch den Angreifer die Daten von Nutzern von Websites stehlen könnten, auf denen sie angemeldet sind. wie etwa ihre Web-Mail- und Social-Networking-Accounts.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Die betreffende Technologie von Unity Technologies wird von Hunderttausenden von Entwicklern zur Erstellung von Online-Spielen verwendet und andere interaktive 3D-Inhalte. Der Fehler, von dem der Forscher sagt, dass er noch nicht gepatcht wurde, befindet sich im Unity Web Player, einem Plug-In, das in Browsern installiert werden muss, um Unity-basierte Web-Apps anzuzeigen.

Unity Technologies basiert in San Francisco, reagierte nicht sofort auf eine Anfrage für einen Kommentar.

Die Unity-Engine ermöglicht Entwicklern, 3D-Inhalte zu erstellen, die auf einer Vielzahl von mobilen, Desktop-und Gaming-Plattformen, einschließlich in Browsern wie Firefox, Chrome, Internet Explorer, Safari und Opera. Die Technologie ist bei Online-Spieleentwicklern beliebt und wird sogar von Facebook unterstützt, das ein Software-Entwicklungskit zur Integration von Unity-basierten Spielen mit Facebook-Funktionen anbietet.

Laut Unity Technologies wurde der Unity Web Player auf über 200 Millionen Computern installiert Stand März 2013. Das Unternehmen sagt, dass es über 700.000 monatlich aktive Entwickler bedient, von großen Publishern bis zu Hobbyisten, und dass es 600 Millionen Spieler auf der ganzen Welt "berührt" durch Spiele, die mit seiner Engine gemacht werden.

Diese Woche, Finnisch Der Sicherheitsforscher Jouko Pynnönen berichtete, dass er eine Möglichkeit gefunden habe, die vom Plug-in erzwungene domänenübergreifende Richtlinie zu umgehen, um mit den Anmeldeinformationen des aktiven Browserbenutzers auf andere Websites zuzugreifen.

Die domänenübergreifende Richtlinie soll Based Web-Anwendung geladen von einem bestimmten Domain-Namen aus Zugriff auf Ressourcen aus anderen Domänen, sagte Pynnönen Dienstag in einem Blog-Post.

Allerdings fand der Forscher eine Verwundbarkeit, die al Löst eine bösartige App aus, die den Spieler dazu verleitet, Anfragen an Websites Dritter zuzulassen.

Er hat eine Proof-of-Concept Unity-App erstellt, die, wenn sie vom Browser-Plug-in geladen wird, auf das Google Mail-Konto des Benutzers zugreift Er hat eine aktive Gmail-Sitzung und sendet seine E-Mails zurück an den Angreifer.

Derselbe Angriff kann auch gegen Benutzer ausgeführt werden, die bei Facebook oder einer anderen Website angemeldet sind, sofern Unity Web Player installiert ist.

"Abhängig von der Webbrowser und seine Version, das Plugin kann oder kann nicht direkt ohne Bestätigung starten ", sagte der Forscher.

Der Angriff funktioniert nicht mehr standardmäßig in den letzten Versionen von Chrome, da mit Chrome Version 42, veröffentlicht in Im April unterstützt der Browser keine Plug-Ins mehr, die auf dem alternden Netscape Plugin Application Programming Interface (NPAPI) basieren. Es gibt derzeit eine Problemumgehung, um NPAPI-Plug-Ins in Chrome manuell wieder zu aktivieren, aber es wird nur noch ein paar Monate dauern, da Google plant, NPAPI-Plug-ins später in diesem Jahr aus Chrome zu verbannen.

Der Forscher behauptet, dass Er versuchte, den Fehler einmal im Februar und einmal im April an Unity Technologies zu melden. Allerdings hörte er erst am Mittwoch, nachdem er die Schwachstelle öffentlich bekannt gemacht hatte, von der Firma zurück.

"Laut ihrer E-Mail hat das QA-Team heute die Fehlerberichte gelesen und ein verbessertes Sicherheitsverfahren ist in Arbeit. "Sagte er.