Nel motore di Quake III, sviluppato dalla celebre software house id Software , si nasconde una vulnerabilità che potrebbe seriamente minacciare la sicurezza di molti videogamer che giocano via Internet.
La falla, scoperta dall’italiano Luigi Auriemma, è causata dalla non corretta gestione, da parte dela funzione CL_ParseDownload() , dei comandi di download ( svc_download ) ricevuti dal server. Il bug interessa la versione 1.32c del Quake III Engine e, presumibilmente, tutte le precedenti release.
Inducendo un utente a connettersi ad un server di gioco maligno, un aggressore potrebbe sfruttare la debolezza per eseguire del codice a propria scelta e prendere il pieno controllo di un sistema remoto .
FrSIRT ha classificato il problema di “rischio elevato”. “Questa è la terza vulnerabilità di sicurezza del Quake III Engine scoperta nell’arco di due settimane”, ha spiegato Auriemma a Punto Informatico.
Nel proprio advisory , Auriemma spiega che il motore di Quake III, il cui codice è open source dallo scorso anno, “rimane uno dei motori più usati, licenziati e giocati”. Oltre che alla base dell’omonimo gioco, infatti, la tecnologia 3D di Quake III è stata implementata in diversi altri titoli molto famosi .
“Ad aggravare la situazione c’è il fatto che, a quanto sembra, id Software non rilascerà più alcuna patch ufficiale per il motore di Quake III”, ha spiegato Auriemma. “A ciò bisogna aggiungere che mentre per i server si possono creare patch non ufficiali (come accade ad esempio per q3infoboom), la stessa cosa non si può fare per i client, in quanto i sistemi anti-cheat (come Punkbuster) negano l’accesso a qualsiasi client che non abbia gli eseguibili e i file di gioco originali”.
Auriemma afferma di aver notificato la falla al progetto Icculus , che ha immediatamente provveduto a correggere il problema con la revisione 797 del codice di Quake III.
Ti potrebbe interessare
7 giu 2006