[闲聊] TYPE-MOON 制游戏存在OSコマンド弱点
楼主: Oswyn (Oswyn) 2015-11-06 14:23:48
“魔法使いの夜”などTYPE-MOON制ゲームにOSコマンドを実行される脆弱性(JVN)
2015年11月6日(金) 10时08分
独立行政法人 情报処理推进机构(IPA)および一般社団法人 JPCERT コーディネーショ
ンセンター(JPCERT/CC)は11月5日、TYPE-MOONが提供する复数のゲーム制品にOSコマ
ンドインジェクションの脆弱性が存在すると“Japan Vulnerability Notes(JVN)”で
発表した。CVSSによる最大Base Scoreは6.8。
“Fate/stay night(CD版、DVD版)”“Fate/hollow ataraxia”“魔法使いの夜”“
Fate/stay night + hollow ataraxia(セット版)”には、OSコマンドインジェクショ
ンの脆弱性(CVE-2015-5672)が存在する。この脆弱性が悪用されると、细工されたセ
ーブデータを読み込むことで、任意のOSコマンドを実行される可能性がある。JVNでは
、信頼のおけない提供元から提供されたセーブデータを読み込まないことで、本脆弱性
の影响を回避することが可能としている。
2015年11月6日(金) 10时08分
独立行政法人 情报処理推进机构(IPA)および一般社団法人 JPCERT コーディネーショ
ンセンター(JPCERT/CC)は11月5日、TYPE-MOONが提供する复数のゲーム制品にOSコマ
ンドインジェクションの脆弱性が存在すると“Japan Vulnerability Notes(JVN)”で
発表した。CVSSによる最大Base Scoreは6.8。
“Fate/stay night(CD版、DVD版)”“Fate/hollow ataraxia”“魔法使いの夜”“
Fate/stay night + hollow ataraxia(セット版)”には、OSコマンドインジェクショ
ンの脆弱性(CVE-2015-5672)が存在する。この脆弱性が悪用されると、细工されたセ
ーブデータを読み込むことで、任意のOSコマンドを実行される可能性がある。JVNでは
、信頼のおけない提供元から提供されたセーブデータを読み込まないことで、本脆弱性
の影响を回避することが可能としている。
作者: lance9527 (种籾) 2015-11-06 14:26:00
不要下载存盘就...
作者: keerily (非洲人要认命) 2015-11-06 14:28:00
不是很常有人求大大放某进度的存盘吗
作者: lennychen 2015-11-06 14:46:00
意思是它可以帮你执行存盘内写进的任意OS指令?不过大多数人应该不会用管理者权限去执行游戏吧?
作者: fate201 (Licht) 2015-11-06 14:50:00
庄司不用赔石头吗...咦?
作者: SCLPAL (看相的说我一脸被劈样) 2015-11-06 15:26:00
杀狗子危险了吗QwQ?
作者: chikasa (结束就是一个开始) 2015-11-06 16:19:00
那....放到VM里面跑.....
作者: attis 2015-11-06 18:10:00
会啊 尤其是使用地区转码软件的人
