サイバーパンクの脆弱性により、改造者はPCにフルアクセスできます

CD Projekt Redは、ゲームのコミュニティのメンバーが、ゲームがシステムのDLLファイルに接続する方法に脆弱性を発見した後、Cyber​​punk 2077 Modまたはカスタムセーブをインストールするときに「注意を払う」ようにプレーヤーに警告しています。これにより、Mod /細工されたセーブの作成者が実行時にPCを制御できるようになります。

2日前、Redditor u / Romulus_Is_Hereは、r / cyberpunkgame subredditに警告を投稿し、modderとCyber​​punkセーブエディターの作成者であるPixelRickによる発見について詳しく説明しました。投稿によると、「modまたは細工されたゲームのセーブデータを使用することで、悪意のあるコードを実行して、セーブゲーム/ modの作成者がPCを制御することができます。」

この投稿では、脆弱性の仕組みについてはあまり詳しく説明していませんが、CD Projekt Redからの公式ツイートで更新され、脆弱性の存在を確認し、脆弱性の仕組みにさらに光を当てています。

ツイートには、ゲームが使用する外部DLLファイルにエラーがあると記載されており、「問題はできるだけ早く修正します」と記載されています。DLLファイルはすでにオペレーティングシステムの一部であり、特定のアクティビティを実行するために外部プログラムからアクセスできるため、ここでの問題は、悪意のあるmodがサイバーパンクのコピーを一種のトロイ木馬として使用してシステムに侵入し、ファイルとアクティビティへのリモートアクセスを取得します。

「問題は、PCでのリモートコード実行の一部として使用される可能性があります」とCDPRはEurogamerに語った。「私たちは入力に感謝し、できるだけ早く修正するよう取り組んでいます。それまでの間、ソースが不明なファイルの使用は控えることをお勧めします。」

U / Romulus_Is_Hereはまた、PixelRickが「PS4もある程度この脆弱性の影響を受けやすいことを確認した」と警告します。

最も安全な解決策は、検証されていないソースからのMODを使用しないことですが、CDPRが公式パッチを制定するまで、ファンは別の選択肢を考え出しました。Cyber Engine Tweaksは、ゲームの一貫性のないパフォーマンスを修正することを目的とした、改造者Yamashi氏による有名なファン向けプラグインです。プラグインの最新のアップデートであるバージョン1.9.6では、Yamashiはこの脆弱性を修正したと主張しており、"悪意のあるファイルを偽造した人があなたのコンピュータに完全にアクセスできるようになる可能性がある "と繰り返しています。