4 réponses à ce sujet

[tralala]

Sept années après son signalement, le rapport sur un bug remonté en 2018 vient d'être dévoilé, ce bug portait sur les Nintendo 3DS, Wii U et Switch. 

 

Le chercheur en sécurité, Kinnay, avait envoyer au bug bounty program HackerOne, un rapport portant le numéro 469997 et qui fournissait une vulnérabilité au coeur du matchmaking sur les serveurs de Nintendo. 

 

Ce bug, aujourd'hui résolu, a suscité un certain intérêt à l'époque, s'appuyant sur une fonction nommée UnicodeToUtf8 qui convertissait les adresses IP au format spécifique UTF-8 pendant le processus de mise en correspondance. 

 

 

 

 

Le bug en question présent dans la gestion des entrées IP provoquait une corruption de mémoire, et ainsi ouvrait la voie à des exploits potentiels.

 

Sur 3DS et Switch, le plantage lié au bug permettait d'obtenir l'exécution RCE en contournant les protections ASLR, tandis que sur Wii U, l'exécution du code aurait été directe du fait du manque d'ASLR, il aurait été facile de mettre en oeuvre une chaîne ROP.

 

Si l'histoire vous intéresse, le rapport se trouve ici : hackerone

 

 

 

 

[overload]

Heureusement que ce genre d'annonce ne concerne pas la scène PS les réaction aurait était différente , ça va la scène Nintendo est plus "cool"
Merci pour la news

Modifié par overload, hier, 07:50.

[shadow256]

Et ici heureusement que le bug n'a pas été dévoilé avant sa résolution, ça aurait pu être une grosse catastrophe pour le online de Nintendo et les données des utilisateurs, le hack oui mais pas à n'importe quel prix et celui-ci là aurait pu être très élevé.

[Batman23]

Salut

Effectivement les ip des utilisateurs et donc nom/adresse aurais fuité.

Enfin Nintendo a comblé la brèche.

[shadow256]

Au vu du type d'exploit ça aurait pu être plutôt les données comme les cartes bleues qui auraient pu être obtenues ainsi que les différentes infos des comptes (mot de passe, adresse, nom, prénom, etc...).