Уязвимость в Unity Web Player: частично решённая проблема

Бизнес

Серьезная уязвимость нулевого дня найдена в Unity Web Player, плагине визуализации браузера, разработанном Unity Technologies наряду с собственным игровым движком. Как сообщает Threatpost, уязвимость нулевого дня позволяет злоумышленнику использовать учетные данные жертвы для чтения её сообщений или иным образом злоупотреблять её доступом к онлайновым сервисам.

Unity: 125 миллионов

Unity Technologies является разработчиком одноименного кросс-платформенного игрового движка, ставшего чрезвычайно популярным в последние годы, главным образом, благодаря своему интуитивному пользовательскому интерфейсу и процессу разработки на основе WYSIWYG, а также существованию бесплатной версии для любителей и инди-разработчиков. В недавнем обновлении до версии 5.0 многие функциональные ограничения были сняты, так что популярность его ещё больше выросла.

Он используется, в основном, для разработки видеоигр для ПК, консолей, мобильных устройств и веб-сайтов. Однако его активно применяют и в неигровом бизнесе для создания интерактивных визуализаций в реальном времени в окне браузера – дизайнеры интерьеров, производители мебели, 3D-проектировщики, а также в строительных приложениях и многих других. Вот эта галерея даёт исчерпывающее представление.

Unity Web Player вполне соответствует своему имени и представляет собой плагин для браузера, который позволяет запускать игры и другие приложения, созданные с помощью инструментов разработки Unity. Facebook также использует Unity Web Player во многих своих играх и предлагает свой SDK для встраивания функций Facebook в игры. Это создает дополнительный маршрут атаки, так как злоумышленник может попытаться внедрить вредоносное приложение в игру Facebook.

Как заявляют в Unity Technologies, плеер был загружен более 125 миллионов раз. Даже если каждая загрузка не привела к его установке и регулярному использованию, цифра всё равно впечатляющая.

На самом деле в сети нет никаких сведений — пока — о сколь-нибудь масштабных эксплуатациях багов Unity. Недавно обнаруженная уязвимость очень опасна сама по себе, по очевидным причинам.

1000

Баг

По утверждению исследователя, выявившего уязвимость, злоумышленник, эксплуатирующий баг, должен сначала заманить жертву на свой сайт, содержащий вредоносное приложение, либо внедрить это приложение на легитимный сайт или в игру на Facebook. Уязвимость позволяет вредоносному приложению Unity обойти кросс-доменные политики в системе, которые мешают доступу приложений к URL и прочим ресурсам на внешних сайтах или в локальной файловой системе. Использование этой уязвимости в Internet Explorer, например, позволяет злоумышленнику прочитать локально сохраненные файлы, что уже хуже некуда.

Вдобавок, неприятно, что о баге сообщили в Unity за шесть месяцев до нынешнего раскрытия информации, по-видимому, так и не дождавшись какой-либо реакции от Unity Technologies. Зато теперь уже компания заявляет, что принимает меры по устранению проблемы. Но в настоящее время у нее появилась другая проблема с Unity Web Player, которая в значительной степени сглаживает вопрос с багом.

NPAPI

Google недавно отключил по умолчанию NPAPI эпохи 90-х годов в Chrome 42. Это старый API, печально известный сбоями и кое-какими проблемами с безопасностью сам по себе, так что неудивительно, что разработчики Chrome решили от него избавляться.

В настоящее время пользователи должны вручную задействовать этот API, в противном случае Unity Web Player работать не будет. Отключение плагина также влияет на плагины Java и Silverlight: теперь они по умолчанию отключены тоже. Тем не менее, если вы вдруг гоняете Chrome старше версии 42 (текущая версия 43.0, а браузер обновляется автоматически), то уязвимость у вас присутствует.

Кроме того, он работает в качестве элемента ActiveX в Internet Explorer. Опыт работы с последней версией Firefox и свежим обновленным Unity Web Player показал, что либо уязвимости больше нет, либо инструмент для теста не работает как положено. Несмотря на это, вся эта ситуация наглядно демонстрирует крайнюю важность своевременного обновления программного обеспечения, особенно предназначенного для Сети.

Технические подробности об уязвимости и возможных способах её эксплуатации можно найти на Threatpost.