GOG Galaxy mijozidagi zaifliklar tizimni egallab olishga imkon beradi
Platformada jami 6 ta zaiflik aniqlandi, ulardan 2 tasi muhim.
Kompyuter o’yinlari va dasturiy ta’minotini tarqatish uchun mashhur platforma bo’lgan GOG Galaxy Games mijozida tizim imtiyozlari bilan kodni o’zboshimchalik bilan bajarishga imkon beruvchi bir nechta zaifliklar, jumladan, muhim zaifliklar mavjud. Cisco Talos tadqiqotchilari jami oltita muammoni aniqladilar, ulardan eng jiddiylari CVE-2018-4048 va CVE-2018-4049. Birinchisi GOG Galaxy’ning «Temp» papkasida joylashgan, ikkinchisi esa «O’yinlar» papkasidagi fayl tizimi ruxsatnomalari bilan bog’liq. Ikkala zaiflik ham CVSSv3 jiddiylik reytingiga 10 balldan 9,3 ballni tashkil qiladi. Muammolardan biri (CVE-2018-4048) GOG Galaxy’ning standart papkadan avtomatik yangilanishlar uchun bajariladigan fayllarni ajratib olishi bilan bog’liq bo’lib, bu tajovuzkorga tizimni boshqarish imkonini beradi. Ushbu zaiflikdan foydalanib, tajovuzkor GOG Galaxy’ning yangilanish tizimiga tegishli fayllarni o’qishi, yozishi yoki o’zgartirishi mumkin.
«Hujumchi ushbu zaiflikdan foydalanish va SYSTEM imtiyozlari bilan kodni bajarish uchun Desktop Galaxy Updater bajariladigan fayllarini qayta yozishi mumkin. Ushbu bajariladigan fayllarda ildiz sertifikatlari yoki o’rnatilganda tizim imtiyozlari bilan ishga tushirilishi mumkin bo’lgan fayllar kabi maxfiy ma’lumotlar mavjud bo’lib, bu esa tajovuzkorga ularni qayta yozish va SYSTEM imtiyozlari bilan kodni bajarish imkonini beradi», deb tushuntirishdi tadqiqotchilar.
CVE-2018-4049 zaifligi «O’yinlar» papkasidagi fayl tizimi ruxsatnomalari bilan bog’liq. Bu tajovuzkorga o’rnatilgan o’yinlarning bajariladigan fayllarini qayta yozish va yuqori imtiyozlarga ega kodni bajarish imkonini beradi. Ushbu zaifliklar GOG Galaxy 1.2.48.36 versiyasiga ta’sir qiladi. Ishlab chiquvchi allaqachon yamalgan versiyasini chiqargan.
Qolgan zaifliklar unchalik jiddiy emas. Bularga macOS uchun GOG Galaxy 1.2.47 versiyasida kodni yuqori imtiyozlar bilan bajarishga imkon beradigan ikkita muammo (CVE-2018-4050 va CVE-2018-4051) va ma’lumotlarning oshkor bo’lishiga yoki ishdan chiqishiga olib keladigan zaifliklar (CVE-2018-4052 va CVE-2018-4053) kiradi.
GOG (ilgari Good Old Games) – bu kompyuter o’yinlari va dasturiy ta’minoti uchun raqamli tarqatish xizmati. GOG Galaxy GOGning rasmiy mijozi bo’lib, sizga xizmat orqali sotib olingan barcha o’yinlarni yuklab olish va o’ynash imkonini beradi.
