Уязвимость позволяет внедрять в игру вредоносный код и запускать его без ведома пользователей.
Консультант компании Pulse Security Денис Андзакович обнаружил критическую уязвимость в популярной игре Untitled Goose Game. По словам Андзаковича, проблема позволяет внедрять в игру вредоносный код и запускать его без ведома пользователей.
Уязвимость существует из-за небезопасной десериализации в загрузчике сохраненной игры. Злоумышленник, контролирующий сохраненную жертвой игру, может при ее загрузке проэксплуатировать вредоносный код.
Австралийский разработчик House House выпустил Untitled Goose Game 20 сентября нынешнего года, и игра стала быстро завоевывать популярность – только за первые две недели было продано более 100 тыс. копий.
По словам Андзаковича, он направил разработчику игры уведомление об уязвимости 7 октября, и 22 октября House House сообщил о выпуске исправления. Пользователям настоятельно рекомендуется установить обновление во избежание потенциальных кибератак.