Seit mehreren Wochen ist Blizzard bekannt, das in seinem Update Agenten eine Sicherheitslücke besteht. Diese wurde Ihnen vom Google-Entwickler Tavis Ormandy, welcher als Sicherheitsforscher in Googles Project Zero-Team Arbeitet. Über diese Sicherheitslücke konnte ein Angreifer beliebigen Code auf einen PC schleusen und diesen so letztlich komplett übernehmen. Der Update Agent ist dabei ein ziemlich mächtiges Tool. Über ihn werden Patches an die installierten Spiele ausgeliefert, außerdem lassen sich auch getätigte Einstellungen verändern. Dabei soll ein integriertes Authentifizierungssystem dafür sorgen, dass nur Code welcher von Blizzards Update Servern verteilt werden, ausgeführt werden.
Es stellte sich bei genauerer Untersuchung aber heraus, dass der Mechanismus eine Schwachstelle aufwies und umgangen werden konnte. Mit einem DNS-Rebindung-Angriff konnten Skripte, die in eine Webseite eingebettet waren, vortäuschen, Daten von einem Blizzard-Server zu senden. Dass die Informationen im Grunde vom lokalen Browser an den Server-Dienst im Update Agent geschickt wurde, spielte dabei keine Rolle.
Nachdem der Sicherheitsforscher die Schwachstelle an Blizzard gemeldet hatte, folgte ein Schriftverkehr zwischen Blizzard und dem Google Mitarbeiter. Nach einigen Nachrichten Antwortete das Unternehmen jedoch nicht mehr und entwickelte einen Sicherheitspatch für Ihren Updater. Dieser wurde inzwischen verteilt und wird auf allen Systemen nach Start des Updaters Automatisch installiert. Somit könnt Ich nun weiterhin Ruhigen Gewissens euren Abenteuern in World of Warcaft*, Diablo 3*, Overwatch* und weiteren Blizzard Titeln nachgehen.
Nur die Umsetzung findet der Sicherheitsforscher nicht für ideal. Dabei hatte er vorgeschlagen, eine White List in den Updater zu integrieren, anhand derer doppelt abgesichert wird, welche Quelle vertrauenswürdig ist. Blizzard hat sich aber wohl dafür entschieden, mit einer Black List zu arbeiten. Hier wird über einen Hash geprüft, woher die Daten kommen - und die Programmdateien der lokalen Browser sind gesperrt. Nur der Microsoft Edge Browser ist aus einem unbekannten Grund nicht darin gelistet, warum ist nicht bekannt.
