[閒聊] TYPE-MOON 製遊戲存在OSコマンド弱點
作者: Oswyn (Oswyn) 2015-11-06 14:23:48
「魔法使いの夜」などTYPE-MOON製ゲームにOSコマンドを実行される脆弱性(JVN)
2015年11月6日(金) 10時08分
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーショ
ンセンター(JPCERT/CC)は11月5日、TYPE-MOONが提供する複数のゲーム製品にOSコマ
ンドインジェクションの脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で
発表した。CVSSによる最大Base Scoreは6.8。
「Fate/stay night(CD版、DVD版)」「Fate/hollow ataraxia」「魔法使いの夜」「
Fate/stay night + hollow ataraxia(セット版)」には、OSコマンドインジェクショ
ンの脆弱性(CVE-2015-5672)が存在する。この脆弱性が悪用されると、細工されたセ
ーブデータを読み込むことで、任意のOSコマンドを実行される可能性がある。JVNでは
、信頼のおけない提供元から提供されたセーブデータを読み込まないことで、本脆弱性
の影響を回避することが可能としている。
2015年11月6日(金) 10時08分
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーショ
ンセンター(JPCERT/CC)は11月5日、TYPE-MOONが提供する複数のゲーム製品にOSコマ
ンドインジェクションの脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で
発表した。CVSSによる最大Base Scoreは6.8。
「Fate/stay night(CD版、DVD版)」「Fate/hollow ataraxia」「魔法使いの夜」「
Fate/stay night + hollow ataraxia(セット版)」には、OSコマンドインジェクショ
ンの脆弱性(CVE-2015-5672)が存在する。この脆弱性が悪用されると、細工されたセ
ーブデータを読み込むことで、任意のOSコマンドを実行される可能性がある。JVNでは
、信頼のおけない提供元から提供されたセーブデータを読み込まないことで、本脆弱性
の影響を回避することが可能としている。
作者: lance9527 (種籾) 2015-11-06 14:26:00
不要下載存檔就...
作者: keerily (非洲人要認命) 2015-11-06 14:28:00
不是很常有人求大大放某進度的存檔嗎
作者: lennychen 2015-11-06 14:46:00
意思是它可以幫你執行存檔內寫進的任意OS指令?不過大多數人應該不會用管理者權限去執行遊戲吧?
作者: fate201 (Licht) 2015-11-06 14:50:00
庄司不用賠石頭嗎...咦?
作者: SCLPAL (看相的說我一臉被劈樣) 2015-11-06 15:26:00
殺狗子危險了嗎QwQ?
作者: chikasa (結束就是一個開始) 2015-11-06 16:19:00
那....放到VM裡面跑.....
作者: attis 2015-11-06 18:10:00
會啊 尤其是使用地區轉碼軟體的人
