『Untitled Goose Game』のファンは、悪意のあるセーブファイルがプレイヤーのシステムを乗っ取る可能性があるバグが発見されたため、このインディーズ大ヒット作のコピーを更新する必要がある。
Pulse Securityのバグハンター、デニス・アンドザコビッチ氏は、この脆弱性を発見し、責任ある形で公開した功績を認められましたが、この脆弱性にはCVE番号が付与されていないようです。パブリッシャーのHouse Houseは、リモートコード実行の脆弱性に対するパッチを公開しました。
先月Windows PC、Mac、Nintendo Switch向けにリリースされ、瞬く間にカルト的な人気を博した『Untitled Goose Game』では、プレイヤーは何も知らない人間の村に大混乱をもたらそうと企む邪悪なガチョウとして描かれます。怒れる鳥のペルソナを演じる本作は、子供の眼鏡を盗んだり、庭師に自傷行為を強要したりするという任務を負い、驚くほど満足度の高いゲームプレイを生み出します。
さて、欠陥の話に戻りますが、これは怖いというよりは面白いですね。でも、とにかくパッチを当ててください。
アンドザコビッチ氏は、Goose Gameがゲームのセーブファイルを読み取る際にデシリアライゼーションエラーを発見しました。この欠陥を知っているハッカーは、ロード時に任意のコードを実行し、スパイウェアやその他の不正ソフトウェアのインストールにつながる、改ざんされたセーブファイルを作成できる可能性があります。
クリスマスが近づき、ガチョウも太ってきました。簡単にハッキングできるマストアイテムのおもちゃに注目してくださいね♪
続きを読む
「Untitled Goose Gameは、.NET BinaryFormatterを使用してセーブゲームのファイルを読み取り、デシリアライズしていました。SerializationBinderが指定されていなかったため、セーブゲームファイルを制御できる攻撃者はデシリアライズプロセスを悪用し、任意のコードを実行する可能性があります」と、バグハンターは概要に記しています。
「これは、悪意のあるシリアル化されたオブジェクトをセーブゲームファイルに書き出し、後で Untitled Goose Game によって読み取られることによって実現されます。」
実際には、ゲーマーを罠にかけられたセーブデータをダウンロードさせ、開かせるように仕向ける必要があります。例えば、悪意のある人物は、ゲームクリア間近、あるいはゲーム内のより難しいチャレンジをクリアしたセーブデータを約束することで、ゲームを終わらせることが可能です。
Andzakovic氏は、デモを行うために、ガチョウゲームで開くとWindowsの電卓が実行される概念実証用のセーブファイルを作成しました。これを別のものに置き換えると、相手のマシン上でコードが実行されるようになります。
この物語は、村人たちの一日とは違ってハッピーエンドです。House Houseは先週この欠陥を修正しました。それ以降にアップデートされたバージョンを使っている方は、このバグが修正されているはずです。本当に慎重にプレイしたいなら、他人のセーブデータを開かないでください。
最後に、HONK.®
