Roma – All’interno del motore di gioco di Unreal , uno dei più utilizzati nel settore dei videogame, si cela una seria vulnerabilità di sicurezza che potrebbe consentire ad un cracker di prendere il controllo del PC di un utente.
Il problema interessa quegli utenti, soprattutto se dotati di una connessione con IP fisso, che utilizzano i propri PC come server di gioco per ospitare partite multiplayer via Internet.
Il bug, scoperto da Luigi Auriemma e descritto in questo advisory , interessa varie versioni di Unreal – celebre serie di giochi sviluppata da Epic Games – e una decina di altri titoli, tra cui Deus Ex , Postal 2 , Rune, Tactical Ops e Wheel of Time.
Auriemma afferma che Epic è stata avvisata del problema il 24 maggio e che, al momento, ha rilasciato solo una patch per Unreal Tournament 2004.
“Il bug, che causa la sovrascrittura di importanti zone di memoria, può essere innescato inviando al server di gioco un pacchetto UDP contenente la query “secure” con associato un valore troppo grande”, ha spiegato Auriemma a Punto Informatico. “Oltre a consentire l’esecuzione di codice da remoto, la falla rende altresì possibile inviare il pacchetto da un IP qualsiasi (spoofing)”.
Il SANS Institute raccomanda agli utenti che utilizzano le funzionalità di server di uno dei giochi basati sul motore di Unreal di installare la patch non appena disponibile.
Auriemma, che sul proprio sito ha pubblicato un exploit d’esempio, sostiene che il problema può essere risolto in modo abbastanza semplice modificando, per chi ha dimestichezza con il linguaggio UnrealScript, un paio di file script del server di gioco.
L’hacker italiano si è specializzato nella sicurezza dei videogiochi, un settore a cui contribuisce rilasciando tool, modifiche e documentazione. In passato questa attività lo ha portato a scontrarsi con GameSpy , celebre portale americano dedicato ai videogiochi e al gaming on-line.