教育新闻网索尼已纠正在PlayStation Now云游戏平台中发现的一系列安全错误,这些错误可能使黑客对Windows设备发起攻击。根据安全研究员Parsia Hakimian的说法,这些错误在链接在一起时为远程代码执行(RCE)打开了大门,这意味着攻击者可以在目标计算机上运行他们喜欢的任何代码。
漏洞最早是在5月通过HackerOne上的PlayStation错误赏金计划报告的,一个月后,该条目被标记为已解决。Hakimian被授予15,000美元的披露信息,这与漏洞的严重程度相称。
PlayStation Now(或简称PS Now)是一项订阅服务,可让PC游戏玩家访问700多种游戏,包括专门在PlayStation上发行的热门游戏。自2014年推出以来,该服务已吸引了超过200万订户。
如HackerOne条目中所述,存在问题的安全漏洞影响了运行Windows 7 SP1或更高版本的计算机上安装的PlayStation Now 11.0.2和更低版本。
安全漏洞是三个独立问题的产物,这些问题结合在一起使用时,就可以通过易受攻击的计算机套接字上的任何浏览器加载的网站通过“易受攻击的websocket连接”运行代码。
要执行攻击,黑客必须欺骗PS Now用户打开可能通过网络钓鱼电子邮件分发的恶意链接。然后,已绑定网站上的脚本将连接到本地WebSocket服务器并从另一个站点加载恶意代码,然后在计算机上运行它。
处于活动状态时(如果有的话)利用问题的程度尚不清楚,但是有关漏洞已被修补很久了,这意味着PS Now订户无需采取进一步措施。
