Уязвимость затронула 500 миллионов любителей игр Blizzard

В клиенте компании Blizzard, через который пользователи запускают и обновляют игры, обнаружена критическая уязвимость, пишет Threatpost.

По данным компании-разработчика, приложением активно пользуются более 500 миллионов игроков World of Warcraft, Overwatch, Diablo 3, Hearthstone и Starcraft 2.

Игровой клиент запускает на компьютере игрока JSON-сервер, работающий с HTTP и портом 1120, и позволяет устанавливать, настраивать и обновлять игры. Как оказалось, этот клиент уязвим перед атаками типа DNS Rebinding, когда вредоносная веб-страница заставляет браузер жертвы запустить скрипт для обращения к другим сайтам и сервисам. Злоумышленники могли замаскировать любой домен под мост между сервером Blizzard и игровым клиентом и переслать под видом обновления вредоносный файл.

Несмотря на то что уязвимость обнаружили еще в начале декабря, она была закрыта только через три недели.