Calling All Cars: I Asked For It / The Unbroken Spirit / The 13th Grave
一位扑克软件开发人员计划在本周实施一项修补程序,以解决最近两位安全研究人员发现的漏洞,该人员分析了其赌博应用之一。
位于马耳他的B3W Group,该公司已经发现了ReVuln的一个漏洞研究咨询机构Luigi Auriemma和Donato Ferrante在上周发布的一份报告中指出的根本问题,该漏洞研究咨询公司也位于马耳他。
B3W制作了一系列赌博软件,包括用于在线扑克的软件房间,也被称为皮肤,用于各种扑克,如德州扑克,奥马哈和梭哈。许多扑克游戏都要求用户将软件下载到他们的计算机上,然后与网络服务进行交互,以获得逼真的实时游戏。
[进一步阅读:如何从Windows PC删除恶意软件]ReVuln的报告,该公司还研究了来自Microgaming和Playtech公司的产品,专注于扑克软件,因为下载的客户端允许攻击者对游戏软件设计的一部分有更好的了解。
Thompson写道,发布新扑克客户的行业标准是通过内容交付网络。 B3W使用来自Fileburst的CDN
托马斯写道,使用与Fileburst的安全连接是可能的,但数字签名的安全证书与交付的软件不匹配。但是,B3W已经找到了解决方案,以便提供安全更新。“因此,我们决定使用由扑克客户端代码信任的签名证书,通过SSL [安全套接字层]将所有客户端更新移动到我们自己的数据中心,”他写道:
这些改变将消除ReVuln概述的三个问题,包括执行未经验证的文件,目录横向问题和基于堆栈的缓冲区溢出的问题,Thompson写道
B3W还没有决定如何处理扑克客户端保存的密码。 Thompson写道,密码钥匙链中未存储的密码只能被模糊处理,并且为密码创建密码对于玩家来说不太方便,
“我们确实有一个客户端版本,它不允许保存密码,我们正在考虑将此引入到核心客户端构建中,“Thompson写道。”