索尼的云游戏服务 Playstation Now 存在多个严重的安全漏洞。它们允许攻击者在用户的电脑上执行任意代码。这些漏洞影响 PS Now 11.0.2 版本以及运行 Windows 7 SP1 或更高版本的所有先前版本。
尽管PlayStation Now 订阅者可以体验《地平线:零之曙光》2020 年 12 月,索尼刚刚证实了一项令人担忧的发现。最后,云游戏服务存在几个严重的安全漏洞。如果它们被利用,攻击者将能够在用户的 Windows PC 上执行任意代码。
这些漏洞是由计算机安全研究员 Parsia Hakimian 在业余时间发现的。它的缺陷涉及 Playstation Now 11.0.2 版本以及在 Windows 7 SP1 或更高版本下运行的所有先前版本的服务。
Parsia Hakimian 于 2020 年 5 月 13 日通过索尼的 bug 搜寻计划发现了这些缺陷,该计划由 HackerOne 组织,HackerOne 是一个连接公司和网络安全研究人员的漏洞协调和错误修复平台。 2020 年 6 月 25 日,索尼修复了这些缺陷并将其声明为“已解决”在他的报告中。
PS 现在很脆弱,有 200 万个潜在目标
正如帕西亚·哈基米安 (Parsia Hakimian) 所解释的那样,这一缺口是三个不同故障的产物,这三个故障结合在一起,使得未经身份验证的黑客发起远程代码执行攻击(也称为 RCE,远程代码执行)通过滥用代码注入漏洞。
“同一台计算机上的浏览器中加载的任何网站都可以通过易受攻击的网络连接在该计算机上执行任意代码。”帕西亚·哈基米安解释道。要成功利用此漏洞,黑客必须诱骗 PS Now 用户打开恶意链接,例如通过网络钓鱼电子邮件、论坛或 Discord 渠道分发的恶意链接。
这位计算机安全研究人员也因其发现而获得了制造商的丰厚奖励,高达 15,000 美元。这充分说明了这些缺陷的严重性。请注意,索尼的 bug 搜寻并不是针对 Windows 缺陷,而是针对 Playstation 4 和 Playstation 5 系统,甚至是 Playstation 配件和网络。可以说,索尼没想到会发现这样的缺陷。
来源 :出血电脑
