Onderzoekers vinden kwetsbaarheden in CryEngine 3-games en MW3

Beveiligingsonderzoekers zeggen een kwetsbaarheid te hebben gevonden in games die draaien op basis van de CryEngine 3. Exploits voor de CryEngine 3-games zouden hackaanvallen op de systemen van spelers mogelijk maken. Ook zou een gat in de shooter Call of Duty: Modern Warfare 3 zijn gevonden.

De onderzoekers van beveiligingsfirma ReVuln hebben hun bevindingen rondom kwetsbaarheden in CryEngine 3-games openbaar gemaakt op een conferentie in Seoul. Daarnaast zou ook de game Call of Duty: Modern Warfare 3 kwetsbaar zijn. De Activision-game zou een lek bevatten waarmee ddos-aanvallen uitgevoerd kunnen worden. Zo zouden bijvoorbeeld COD-servers platgelegd kunnen worden door spelers van de game.

Een tweede kwetsbaarheid is aangetroffen in de grafische CryEngine 3-motor. De engine, die wordt ontwikkeld door Crytek, is potentieel nog gevaarlijker. De onderzoekers wisten via de game Nexuiz een server aan te vallen waardoor een remote shell gestart kon worden op systemen van spelers die met de betreffende server verbonden waren. Tijdens de demonstratie kon zo op de pc van een slachtoffer een afbeelding getoond worden. Verdere details werden niet gegeven.

De onderzoekers van ReVuln zeggen dat zij details over de beveiligingsproblemen in de Call of Duty-game dinsdag wil vrijgeven, gelijktijdig met de release van Black Ops II. Ook zou de firma willen samenwerken met Activision om de gaten te dichten, maar ReVuln zegt de informatie alleen tegen betaling met de speluitgever te zullen delen.

Door Dimitri Reijerman

Redacteur

Feedback • 11-11-2012 11:5630

11-11-2012 • 11:56

30 Linkedin

Lees meer

Call of Duty Black Ops II

vanaf € 11,29

Score: 4

Alles over dit product

Call of Duty: Modern Warfare 3

vanaf € 13,27

Score: 3.5

Alles over dit product

Crytek: 8GB in Xbox One en PS4 is mogelijk onvoldoende Nieuws van 19 mei 2014
Ook Crytek gaat game-engine verhuren Nieuws van 20 maart 2014
Crytek voegt Linux-ondersteuning toe aan CryEngine Nieuws van 11 maart 2014
Crytek wil CryEngine naar Linux porten Nieuws van 16 juli 2013
Crytek begint studio in Texas met THQ-personeel Nieuws van 29 januari 2013
Minecraft op Xbox Live meer gespeeld dan Modern Warfare 3 en Black Ops Nieuws van 25 oktober 2012
Tweaker bouwt tool om Modern Warfare 3-cheaters aan te geven Nieuws van 2 april 2012
Hoofdontwikkelaar Modern Warfare 3 legt functie neer Nieuws van 26 maart 2012
Modern Warfare 3-map voor Elite-premium leden in aantocht Nieuws van 8 februari 2012
Eerste trailer Modern Warfare 3 toont wereldsteden Nieuws van 24 mei 2011
Meer producten en artikelen
Games Netwerk en systeembeheer Activision Call of Duty Black Ops

Reacties (30)

-Moderatie-faq
30
27
20
2
0
3
Wijzig sortering
RoestVrijStaal
11 november 2012 13:28
Dat is me wat, de Meuktracker vermeldt dat Far Cry 3 uit komt op 29 November. Het is de vraag of de releasedatum nu weer wordt uitgesteld 8)7

Overigs wordt met Nexuiz niet de op Quake3 gebaseerde opensource shooter van Alientrap bedoeld. Die naam is opgekocht door Illfonic en het project is als fork verder door het leven gegaan als Xonotic.

[Reactie gewijzigd door RoestVrijStaal op 11 november 2012 13:33]

XRayXI
@RoestVrijStaal11 november 2012 19:33
"Het is de vraag of de releasedatum nu weer wordt uitgesteld", waarom?
Far Cry 3 draait toch op Dunia Engine 2 engine en niet Cryengine 3?
Zie rechterzijde: http://en.wikipedia.org/wiki/Far_Cry_3
"Engine Dunia Engine 2"

Tevens, Crysis (Wars) had ook een vervelende exploit ,waarbij op afstand, de server gestop/gestart kon worden(ook gevonden door Luigi Auriemma en zou hetzelfde probleem kunnen zijn) : http://aluigi.altervista.org/adv/crysisfs-adv.txt
Gelukkig konden ons modgroep het oplossen door wat dll's aan te passen.


(/Edit:naam toegevoegd)

[Reactie gewijzigd door XRayXI op 11 november 2012 22:01]

RoestVrijStaal
@XRayXI11 november 2012 20:41
Damn Ik blijf vergeten dat Far Cry in handen is van Ubisoft. Thanks
TvdW
11 november 2012 11:58
Hmm, van MW3 wist ik er al een paar. Zo is er ook eentje waarmee je gewoon code kunt uitvoeren op de computer van de andere speler. Lange tijd geleden Infinity Ward al over ingelicht maar 't is nog steeds niet gefixed.

Beetje jammer, maar de realiteit bij MW3 is dat Activision/IW niks patchen aan het spel tenzij het ze geld oplevert.

[Edit:] Black Ops 2 heeft deze bug trouwens niet.

[Reactie gewijzigd door TvdW op 11 november 2012 12:01]

williewonka03
@TvdW11 november 2012 12:05
hoe kun jij nou weten of black ops 2 die bug niet heeft als het nog niet uit is?
TvdW
@williewonka0311 november 2012 12:14
Dat kan ik uiteraard niet zeggen zonder uit te leggen wat de bug eigenlijk is. ;) Gelukkig kan ik met 100% zekerheid zeggen dat de bug waar ik op doel niet in BO2 te vinden is.
psycho202
@TvdW11 november 2012 13:10
Is eigenlijk simpel: Black Ops 2 werkt op een volledig andere engine en heeft een redelijk verschillende server engine dan modern warfare. Het is dus inderdaad simpel om te zeggen dat deze niet in Black Ops 2 voorkomt tenzij IW opeens hun engine wil delen met Treyarch (not likely)
TvdW
@psycho20211 november 2012 13:26
De Black Ops 2 Engine is gebaseerd op de Black Ops 1 Engine welke gebaseerd is op de Call of Duty 4 Engine. De Modern Warfare 2 Engine is gebaseerd op de Call of Duty 4 Engine, en de Modern Warfare 3 Engine is gebaseerd op de Modern Warfare 2 Engine. De hele familie van engines is bekend als de IW Engine.

Black Ops 2 is dus gebouwd op de IW Engine, net als MW3.

[edit]
Zoals 'Blue Eyed Devil' terecht opmerkt is de Black Ops 1 Engine gebaseerd op de World at War Engine. Deze is echter gebaseerd op de Call of Duty 4 Engine, en dus wel degelijk gebaseerd op de IW Engine.

[Reactie gewijzigd door TvdW op 11 november 2012 13:47]

CH4OS
@TvdW11 november 2012 13:40
De Black Ops 2 Engine is gebaseerd op de Black Ops 1 Engine welke gebaseerd is op de Call of Duty 4 Engine. De Modern Warfare 2 Engine is gebaseerd op de Call of Duty 4 Engine, en de Modern Warfare 3 Engine is gebaseerd op de Modern Warfare 2 Engine. De hele familie van engines is bekend als de IW Engine.

Black Ops 2 is dus gebouwd op de IW Engine, net als MW3.
Maar ook deze quote
Blackops' engine is een hoog aangepaste WaW-engine :).
Dus de engine's van BlackOps en BlackOps 2 zijn niet gebaseerd op de IW-Engine.

Dat is waarschijnlijk één van de redenen waarom die bug niet in black ops 2 zal zitten.
Jullie doen net alsof IW / TreyArch / Activision moeite steken in de engines, feit is echter dat de technologie uiteindelijk bij de Quake engine wegkomt en dat de 'IW-engine' sinds COD4 niet meer veranderd is.
Andere textures maken kan iedereen, dat is zo moeilijk niet. ;)

[Reactie gewijzigd door CH4OS op 11 november 2012 13:42]

TvdW
@CH4OS11 november 2012 13:49
De engines worden wel degelijk elke keer aangepast, met elke keer nieuwe features (source). Voor de PC-versies verandert over het algemeen echter zeer weinig op anticheat-gebied, en ook de graphics worden minder bijgewerkt dan je zou verwachten van een modern PC-spel.

Trouwens, de bekende Source Engine (HL2, TF2, Portal, etc) komt ook van Quake ;)

[Reactie gewijzigd door TvdW op 11 november 2012 13:50]

NTAuthority
@TvdW12 november 2012 03:15
toch heeft Treyarch in T5 aardig wat aanpassingen gemaakt aan de renderer; helaas hebben deze grotendeels enkel effect op de backend (bijvoorbeeld de PIMP-shadercode, wat niets is buiten een vervanging van de met CoD2 geintroduceerde shadercode/tooling)

verder is CoD toch aardig verschillend van Quake 3 tegenwoordig - BO2 bijvoorbeeld heeft het UI-systeem (wat tot dat punt een uitgebreide versie was van het Quake 3 Team Arena-UI-systeem) grotendeels vervangen voor een nieuw, Lua-gebaseerd (om precies te zijn, Havok Script) 'scriptable' UI-framework.

[Reactie gewijzigd door NTAuthority op 12 november 2012 03:33]

Blue Eyed Devil
@TvdW11 november 2012 13:29
Blackops' engine is een hoog aangepaste WaW-engine :).
Dus de engine's van BlackOps en BlackOps 2 zijn niet gebaseerd op de IW-Engine.

Dat is waarschijnlijk één van de redenen waarom die bug niet in black ops 2 zal zitten.
NTAuthority
@TvdW12 november 2012 03:10
'code' als in eigenlijke assembly-code, of als de (voorheen bestaande?) activeAction-dvar welke spelcommandos uitvoert op een verbonden client?

(verder kan een 'oversight' in de tekstrendering clients eenvoudig laten crashen; uiteraard bevat mijn IWx-patchset geen van de mij bekende fouten)

[Reactie gewijzigd door NTAuthority op 12 november 2012 03:12]

Wildfire
11 november 2012 13:15
Ook zou de firma willen samenwerken met Activision om de gaten te dichten, maar ReVuln zegt de informatie alleen tegen betaling met de speluitgever te zullen delen.
M.a.w.: we geven eigenlijk geen moer om iedereens veiligheid, alleen om onze portemonnee.
Gomez12
@Wildfire11 november 2012 14:21
[...]


M.a.w.: we geven eigenlijk geen moer om iedereens veiligheid, alleen om onze portemonnee.
Als jouw "iedereen" nou eens per maand een euro overmaakt naar deze firma om te gaan bughunten dan toont "iedereen" zijn zorgen om veiligheid en hoeft activison niet de kosten te dragen.
CH4OS
@Gomez1211 november 2012 14:30
Als jouw "iedereen" nou eens per maand een euro overmaakt naar deze firma om te gaan bughunten dan toont "iedereen" zijn zorgen om veiligheid en hoeft activison niet de kosten te dragen.
Activision verdient maximaal aan de CoD-franchise, met zo min mogelijk inspanningen, waarom dan nóg meer geld de berg op gooien? Want geef toe, door de jaren heen is er maar weinig veranderd aan de game sinds MW2. En wellicht ook wel sinds CoD4.

[Reactie gewijzigd door CH4OS op 11 november 2012 14:31]

Zer0
@Gomez1211 november 2012 21:23
Als jouw "iedereen" nou eens per maand een euro overmaakt naar deze firma om te gaan bughunten dan toont "iedereen" zijn zorgen om veiligheid en hoeft activison niet de kosten te dragen.
Waarom zou ik moeten betalen om de "hobby" van deze onderzoekers te bekostigen?
CH4OS
@Wildfire11 november 2012 13:44
M.a.w.: we geven eigenlijk geen moer om iedereens veiligheid, alleen om onze portemonnee.
Zo gaat het al jaren er aan toe met de CoD-serie. En aan de andere kant; geldt dat niet voor elk bedrijf? ;)
hmmglaser
@Wildfire11 november 2012 23:59
Dat doen toch alle grote uitgevers waarom denk je anders dat ea bf1942 nu gratis weg geeft! Ik denk om 2 redenen 1 om origin te promoten en 2 om te kijken hoeveel mensen interesse hebben in een ww2 shooter(pc versie bf 1943 snelle console port)om weer te cashen
iAteTweakTweak
11 november 2012 12:13
Is dat lek in de engine op te lossen door een fix van Crytek (dus 1 fix die verspreid word naar alle engines) of moet ieder spel opzichzelf gepatched worden?
lukjah
@iAteTweakTweak11 november 2012 12:49
Ligt eraan of de gamemaker de engine heeft aangepast, anders zal 1 globale patch gemaakt door crytek voldoen. Wel zal de gamemaker deze patch zelf moeten uitbrengen.

[Reactie gewijzigd door lukjah op 11 november 2012 12:52]

Gomez12
@iAteTweakTweak11 november 2012 14:19
Ieder spel moet zelf gepatched worden, Crytek gaat niet het risico lopen dat ze een aangepaste engine gaan verkloten met een patch.
TeslanoiD
11 november 2012 12:40
Kijk dat is nog eens een mooie toevoeging aan de moderne oorlogsvoering: je kan zelf ddos aanvallen uitvoeren :+
nelizmastr
11 november 2012 13:20
Scheelt dat er geen niet-hackers/exploiters nog mw3 spelen. Geen probleem dus.
SuperDre
11 november 2012 17:13
ik kan geen respect hebben voor dit bedrijf, ze zijn, door geld te vragen, niet veel beter dan een of andere debiel hackertje die een bedrijf hackt en dan zegt de buitgemaakte data niet te publiceren als ze maar betalen.
psycho202
@Anoniem: 48225111 november 2012 13:13
"fraaie graphics" vergelijk es play4free met de BF3, beide op mooiste settings, BF3 is echt heel veel mooier :)

Ook zijn de play 4 free games nooit volledig gratis: je wordt bijna verplicht om echt geld te investeren via microtransactions om nog mee te kunnen met andere spelers ...
hmmglaser
@psycho20211 november 2012 23:52
Dat komt omdat bf play4free een bf2 mod is! Het heeft niks met bf3 te maken!

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee