Mozilla强烈建议用户禁用有问题的附加组件或者插件,已将育碧Uplay插件 加入到 Firefox 的封锁清单当中。游戏发行商Ubisoft旗下uPlay被爆存在漏洞,现已确认修补了这个毁灭性的安全漏洞,据悉该漏洞可以允许黑客通过网站控制玩家的电脑。

育碧今晨紧急发布Uplay 2.0.4版,力图更正浏览器插件可执行Uplay之外应用的错误,经第三方测试,看上去这个漏洞已被解决(图片来源于网络)

截止目前,官方还没有公布具体有多少用户受到牵连的报告。

鉴于此情况的严重性,Mozilla强烈建议用户禁用有问题的附加组件或者插件,已将该插件 加入到 Firefox 的封锁清单当中。但如果用户决定接受描述的这些风险,依然可以选择使用它们。

具体漏洞的来源和解决方法:

之前有一位名叫Tavis Ormandy的程序员在某论坛发帖称,他度假时买了一款育碧出品的《刺客信条:启示录》,倒没怎么玩,因为他发现Uplay安装程序带来的乐趣更多。

Ormandy注意到除常规启动程序外,安装例程还为浏览器安装了一个插件,使得外部网站可通过插件漏洞执行访问本机内容。Ormandy随后针对该漏洞定制了一个网页,在到访用户没有任何操作的情况下通过浏览器启动了本机的计算器小程序。

据事后分析,Uplay离root kit的境界还差得很远,且该漏洞不像是育碧有意为之,更像是某位程序员一时疏忽所致。

玩家需启动AC2、ACR、HAWX 2、断罪、未来战士等育碧作品中的任何一部,让Uplay自行修补该漏洞(我国大部地区需使用必备技能方能驯服Uplay——是的,你错怪它了)。

——网易新闻 By:蚊仔部屋

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。