クルトゥーア
Twitter フェイスブック RSS

「TERA」 非常に深刻なゲーム内チャットの脆弱性が発見される。欧米ではチャット制限措置実施

TwitCount Button
このエントリーをはてなブックマークに追加
MMORPG「TERA」の北米サービスを運営するEnMasseは11月9日、TERAのゲーム内チャットに関する潜在的な脆弱性が発見されたと発表した。

tera_chat_v.png


公式フォーラムやReddit等で一部のユーザーから、「TERA」のチャットシステムに脆弱性があり、この脆弱性を利用することでチャット欄で外部にある画像を表示させたり、ゲーム内に実装されたウェブブラウザを開かせるリンクを作成できるといった事が可能になると報告された。

上記の画像は、TERAのチャット欄に外部サイトの画像を貼り付けている様子。通常、TERAのチャットでこういった事はできない。

仮に外部サイトのコンテンツへのアクセスをTERAのゲーム内チャットから強制的にさせることができれば、TERA利用者全員のIPアドレスを盗み見るといった事もできるというわけだ。全体チャットやささやきの機能を使えば非常に脅威となるとのこと。

悪質なコードが仕込まれたウェブページへのURLをチャット欄に貼り付けて全体チャットやささやき機能で無差別に送りつける事も出来てしまう可能性があるという。

さらに、この脆弱性を利用すれば、リモートコードを実行したり、全てのプレイヤーのクライアントを破壊する事も可能だと報告されていた。

ユーザーからの報告は以下のページにまとめられている
https://docs.google.com/document/d/1reZz6MGHQg_IFUfX__knCQVkvbDnGv384Afj1E3QU6E/


北米サービス運営のEnMasse Entertainmentは11月9日に声明を以下のように発表した。
Status of Potential Chat Vulnerability(TERA北米サイト)

TERAの開発者は直ちにこの脆弱性を認識し、最も緊急性の高い適切な行動方針を模索しています。彼らが対処をしている間、EnMasseのチームは、可能な限り開発チームを支援するつもりです。

この脆弱性が悪意のあるユーザーに利用される恐れがあるという意見があり、これらの申し立ては非常に真摯に受け止めていますが、現在のところ、このような脆弱性が悪用されているという証拠はなく、プレイヤーの情報が漏洩しているという証拠はありません。



さらに、北米運営は同日中に緊急メンテナンスを行い、ギルドチャット以外のチャットができないように緊急措置が取られた。

また、TERAのヨーロッパサービスでも11月9日に緊急メンテナンスが実施され、ギルドチャット以外が使用不可になったようだ。
Exceptional maintenance - 09.11.2017

TERAの日本サービスに関しては、11月10日15:00段階では特に告知はされていないが、プレイヤーは今後の状況を注視する必要があるだろう。いずれにせよ、全ての地域のサービスでこの脆弱性の修正作業は行われる事だろう。



【追記】
11月11日にHotfixパッチが配信され、問題となっていた脆弱性が対策されたとのこと。このHotfixに伴い、欧米サーバーのチャット制限も解除された模様。


  • このエントリーをはてなブックマークに追加

ゲーム内にウェブブラウザ組み込むとこういうのがいくらでもでてくるから怖いわ
今まで良く表沙汰になってなかったな
[ 2017/11/10 15:46 ] [ 編集 ]
暇人はよくもまぁこんなの見つけるもんだわ
[ 2017/11/10 15:57 ] [ 編集 ]
6年経って発見されるってのも凄いな
[ 2017/11/10 16:16 ] [ 編集 ]
そういや昔やってた時TERAのUIはFlashで作られててそのせいで重いとか聞いた気がするけど
その辺に起因したセキュリティホールって感じがするな
[ 2017/11/10 16:52 ] [ 編集 ]
ひっでえなこりゃ
前代未聞w
[ 2017/11/10 17:02 ] [ 編集 ]
画像見て「ほほう それでそれで?」のAAしか思い浮かばなかった
[ 2017/11/10 19:01 ] [ 編集 ]
これこの前の再誕アプデでゲームガイドのページをゲームのUIから直接見れるようにしたのが原因だよな
わざわざブラウザで見なくて済むから便利だと思ってたが、こんなリスクがあったとは……
[ 2017/11/10 19:40 ] [ 編集 ]
タグシステム入れると割とこういうリスクあるよな
[ 2017/11/10 20:49 ] [ 編集 ]
なんだアプデで仕様が変わったから出てきただけか
[ 2017/11/11 02:11 ] [ 編集 ]
画像はあれか
ミスターロボットのエリオットか
[ 2017/11/13 16:18 ] [ 編集 ]
コメントの投稿
個人情報を投稿しないようにお気をつけください
管理人にご用のある方は「管理者にだけ表示を許可する」に必ずチェックを入れてください。もしくは、メールフォームをご利用ください。












管理者にだけ表示を許可する
トラックバック: