Nintendo ha patchato A “Acuto” Vulnerabilità riscontrata in alcuni switch online, 3DS, E i giochi Wii U


Interruttore
Immagine: Damien McFerran / Nintendo Life

Di recente è stata rilevata una grave vulnerabilità che interessa diverse console Nintendo, con la possibilità di consentire l'accesso non autorizzato a Switch, 3DS, e Wii U tramite una serie di giochi online. È stato riferito che da qualche tempo Nintendo è al lavoro per patchare i giochi per eliminare l'exploit noto come "ENLBufferPwn", con diversi aggiornamenti già in diretta per affrontare la situazione (Grazie, Nintendo Tutto).

La vulnerabilità, che è stato classificato come «Critico’ sul Common Vulnerability Scoring System (CVSS) e dettagliato in pieno su Git Hub by PabloMK7, Rambo6Glaz, e Fishguy6564, Secondo quanto riferito, espone il dispositivo di una vittima al controllo remoto completo semplicemente giocando a un gioco online con un potenziale aggressore. Ciò significa che gli aggressori possono ottenere l'accesso a informazioni sensibili o prendere registrazioni audio e video eseguendo codice in remoto.

The vulnerability was reported to Nintendo in “2021/2022” by @Pablomf6 — who says they received a $1000 “bountyvia Nintendo’s HackerOne program — and it is now understood that the company has taken action to fix the issue in some of the affected games, compresi Mario Kart 7, che era recently updated after more than a decade.

It seems most high-profile Switch titles have already been fixed, but it looks like Mario Kart 8 e splatoon on Wii U have yet to be addressed and may still be affected by the vulnerability.

Here’s a list of affected titles, as per the GitHub page:

It’s speculated that other games may also be affected by the vulnerability, although that’s unconfirmed at present.

For a look at the exploit in action, take a peek at the below video from PabloMK7 which demonstrates an attacker (left console) rilevare in remoto un 3DS non modificato (lato destro) copiando una programmazione orientata al ritorno (POR) payload ed eseguirlo in remoto. La console della vittima è quindi costretta a eseguire un programma di installazione del firmware personalizzato e si pensa che la stessa tecnica consentirebbe a un utente malintenzionato di rubare informazioni sensibili da una console remota. Per fortuna, ora questo problema è stato risolto e non può più essere eseguito se si esegue l'ultima versione del software, quindi assicurati di aggiornare se non l'hai fatto!

L'approccio relativamente limitato di Nintendo al gioco online sembra avere i suoi vantaggi quando si tratta di problemi di sicurezza come questo, come sottolineato da @LuigiBlood discutendo dell'exploit:

Those two games mentioned are Mario Kart 8 e Splatoon, so if you still play either of those titles online on your Wii U, we recommend exercising extreme caution or avoiding them altogether until more information is available. We’ll update this article if further details come to light.

What do you make of this? Condividi i tuoi pensieri nei commenti qui sotto.