Second Life – bezpieczny wirtualny świat i rzeczywiste pieniądze – ale czy na pewno? W wirtualnej rzeczywistości gry Second Life równie łatwo można zarobić pieniądze jak i je stracić. I to pieniądze jak najbardziej realne.

Każdy użytkownik, przystępując do gry Second Life, może stworzyć i wprowadzić do gry własnego mieszkańca, tzw. awatara. Inwestując pieniądze może także kupować wirtualne obiekty: nabywać ziemię, kupować wyspy, domy, samochody, itp. Wirtualna waluta Linden Dollars ma przelicznik na rzeczywiste dolary amerykańskie: 250LD = 1USD. Gracz może także rozpocząć inwestycje, np. otworzyć nowy sklep, klub lub założyć własną firmę reklamową. Dzięki zyskom z inwestycji, w tym wirtualnym świecie gracze dorabiają się rzeczywistych majątków. Ale chociaż w takim świecie, przestępstwa finansowe wydają się być równie wirtualne, nic bardziej mylnego.

Pieniądze graczy w Second Life nie są bezpieczne. Zagrożeniem dla Second Life 1.18.4(3) okazała się luka (www.securityfocus.com) w popularnej usłudze QuickTime, w jego wersji 7.3. Możliwość wykorzystania tej podatności odkryli Charlie Miller i Dino Dai Zovi. Jest ona związana z obsługą plików wideo, które użytkownicy mogą umieszczać w różnych obiektach Second Life. Problem pojawia się w momencie, gdy obiekt ofiary pojawi się w przestrzeni będącej w posiadaniu atakującego, w której znajduje się plik QuickTime. Wówczas atakujący może przejąć pełną kontrolę nad awatarem i komputerem gracza. Zaprezentowany na stronie youtube.com
efekt symulacji exploita, unieruchamia awatara ofiary i okrada go na 12 lindenów.

Błąd w QuickTime powstaje podczas przetwarzania odpowiedzi RTSP (Real Time Streaming Protocol) przez użycie długiego nagłówka „Content-Type”. Wynikiem tego następuje przepełnienie bufora stosu, co pozwala atakującemu na uruchomienie dowolnego kodu.

Zabezpieczeniem przed tym atakiem jest wyłączenie obsługi plików wideo w opcjach gry lub aktualizacja do najnowszej wersji aplikacji QuickTime (na chwilę obecną jest to 7.4, do pobrania ze strony producenta).

Źródła:

securityevaluators.com, inf. własna

Tags: Apple, buffer overflow, exploit, luka, malware, QuickTime, Second Life, web 2.0

Wpis utworzony 21 stycznia 2008 o 9:53 i umieszczony w kategorii Posty. Możesz śledzić wszystkie odpowiedzi korzystając z RSS 2.0