CD Projekt RED heeft een update uitgebracht die een eerder ontdekte kwetsbaarheid dicht bij het installeren van mods en aangepaste savebestanden. Door de kwetsbaarheid konden externen via dll-bestanden op afstand code uitvoeren op pc's.
De hotfix pakt het probleem met remote code execution aan, waarbij de computers van gebruikers kwetsbaar werden doordat kwaadwilligen met externe dll-bestanden via Cyberpunk 2077 op afstand code konden uitvoeren in Windows. De hotfix pakt een buffer overrun issue aan en verwijdert of vervangt non-ASLR dll-bestanden.
De kwetsbaarheid werd ontdekt door een lid van de Cyberpunk-community op Reddit, modmaker PixelRick. Hij zei daarbij dat de kwetsbaarheid lastig te exploiteren is, maar stelde dat zolang er geen fix zou zijn, aangepaste savebestanden en mods niet te vertrouwen zouden zijn. De modmaker legt uit dat Cyberpunk 2077 een buffer overflow kon creëren bij het inladen van een savebestand of mod, die gebruikt kan worden om de game door te verwijzen naar een oud dll-bestand dat op een vaste locatie is opgeslagen en geen moderne beveiliging heeft. Op die manier kan een mod malware bevatten. Daarmee kan vervolgens code worden uitgevoerd die Windows kwetsbaar maakt.
GOG, Epic Games Store en Steam zullen Cyberpunk 2077 in principe automatisch updaten naar versie 1.12, de versie met de hotfix voor deze issue. Modmakers waren CD Projekt RED voor in het fixen van de kwetsbaarheid. Eergisteren brachten modmakers een hotfix uit voor de mod toolkit van Cyberpunk op GitHub. De link daarnaar is inmiddels verwijderd.
De update komt maar een paar weken na de eerste grote update van Cyberpunk 2077, patch 1.1, die een scala aan bugs repareerde en op verschillende punten de performance verbeterde. Patch 1.2 wordt in de komende weken verwacht en moet opnieuw significante veranderingen meebrengen.