В плаформе выявлено в общей сложности 6 уязвимостей, в том числе 2 критические.
Клиент популярной платформы для дистрибуции компьютерных игр и программ GOG Galaxy Games, содержит множественные уязвимости, в том числе критические, которые позволяют выполнить произвольный код с правами системы.
Специалисты подразделения Cisco Talos выявили в общей сложности шесть проблем, наиболее опасными из которых являются CVE-2018-4048 и CVE-2018-4049. Первая содержится в папке «Temp» GOG Galaxy, а вторая связана с разрешениями файловой системы папки «Games». Степень опасности обеих уязвимостей оценена в 9,3 балла из 10 возможных по классификации CVSSv3.
Одна из проблем (CVE-2018-4048) заключается в том, что GOG Galaxy извлекает исполняемые файлы для автоматического обновления из установленной по умолчанию папки, позволяя получить контроль над системой. Воспользовавшись уязвимостью, атакующий может читать, записать или модифицировать файлы, связанные с системой обновления GOG Galaxy.
«Атакующий может перезаписать исполняемые файлы Desktop Galaxy Updater для эксплуатации данной уязвимости и выполнения кода с правами SYSTEM. Исполняемые файлы содержат конфиденциальные данные, например, корневые сертификаты, или файлы, которые при установке могут быть запущены с системными привилегиями, позволяя атакующему перезаписать их для выполнения кода с правами SYSTEM», – пояснили исследователи.
Уязвимость CVE-2018-4049 связана с разрешениями файловой системы папки «Games». С ее помощью злоумышленник может перезаписать исполняемые файлы установленных игр и выполнить код с повышенными привилегиями. Указанные уязвимости затрагивают версию GOG Galaxy 1.2.48.36. Разработчик уже выпустил исправленную версию продукта.
Остальные уязвимости являются менее опасными. В их числе две проблемы (CVE-2018-4050 и CVE-2018-4051) в версии GOG Galaxy 1.2.47 для macOS, позволяющие выполнить код с повышенными привилегиями, и уязвимости (CVE-2018-4052 и CVE-2018-4053), приводящие к раскрытию информации или сбою в работе.
GOG (ранее Good Old Games) — сервис цифрового распространения компьютерных игр и программ. GOG Galaxy представляет собой официальный клиент для GOG, позволяющий скачивать и играть во все приобретенные в сервисе игры.
