Nintendo a patché un “Sévère” Vulnérabilité trouvée dans certains commutateurs en ligne, 3DS, Et les jeux Wii U

Sniper


Interrupteur
Image: Damien McFerran / La vie de Nintendo

Une vulnérabilité sévère affectant plusieurs consoles Nintendo a été découverte récemment, avec le potentiel de permettre un accès non autorisé à Switch, 3DS, et Wii U via une multitude de jeux en ligne. Il a été rapporté que depuis un certain temps, Nintendo s'efforçait de patcher des jeux pour éliminer l'exploit connu sous le nom de "ENLBufferPwn"., avec plusieurs mises à jour déjà en ligne pour faire face à la situation (thanks, Tout sur Nintendo).

La vulnérabilité, qui a été classé comme 'Critique’ sur le système commun de notation des vulnérabilités (CVSS) et détaillé en détail sur GitHub by PabloMK7, Rambo6Glaz, et Fishguy6564, exposerait l'appareil d'une victime à un contrôle à distance complet en jouant simplement à un jeu en ligne avec un attaquant potentiel. Cela signifie que les attaquants peuvent accéder à des informations sensibles ou prendre des enregistrements audio et vidéo en exécutant du code à distance..

La vulnérabilité a été signalée à Nintendo en “2021/2022” by @Pablomf6 — who says they received a $1000 “prime” via Nintendo’s HackerOne program — and it is now understood that the company has taken action to fix the issue in some of the affected games, y compris Mario Kart 7, ce qui était recently updated after more than a decade.

It seems most high-profile Switch titles have already been fixed, but it looks like Mario Kart 8 et éclaboussure on Wii U have yet to be addressed and may still be affected by the vulnerability.

Here’s a list of affected titles, as per the GitHub page:

It’s speculated that other games may also be affected by the vulnerability, although that’s unconfirmed at present.

For a look at the exploit in action, take a peek at the below video from PabloMK7 which demonstrates an attacker (left console) remotely taking over an unmodified 3DS (côté droit) by copying a return-oriented programming (ROP) charge utile et l'exécuter à distance. La console victime est alors obligée d'exécuter un programme d'installation de micrologiciel personnalisé et on pense que la même technique permettrait à un attaquant de voler des informations sensibles à partir d'une console distante.. Heureusement, cela a maintenant été corrigé et ne peut plus être effectué si vous utilisez la dernière version du logiciel, alors assurez-vous de mettre à jour si vous ne l'avez pas fait!

L'approche relativement limitée de Nintendo en matière de jeu en ligne semble avoir ses avantages lorsqu'il s'agit de problèmes de sécurité comme celui-ci, comme le souligne @LuigiBlood discuter de l'exploit:

Ces deux jeux mentionnés sont Mario Kart 8 et Splatoon, donc si vous jouez toujours à l'un de ces titres en ligne sur votre Wii U, nous vous recommandons de faire preuve d'une extrême prudence ou de les éviter complètement jusqu'à ce que plus d'informations soient disponibles. Nous mettrons à jour cet article si d'autres détails sont révélés.

Que pensez-vous de cela? Partagez votre opinion dans les commentaires ci-dessous.