En farlig remote code execution (RCE) udnyttelse fundet i Dark Souls 3 kunne lade en dårlig skuespiller tage kontrol over din computer, ifølge en rapport fra Dexerto. Sårbarheden udsætter kun pc-spillere, der spiller online, i fare og kan potentielt påvirke Dark Souls, Dark Souls 2 og den kommende Elden Ring.
Udnyttelsen blev set i aktion under The__Grim__Sleepers Twitch-stream af Dark Souls 3 online. I slutningen af streamen (1:20:22) går The__Grim__Sleepers spil ned, og robotstemmen, der tilhører Microsofts tekst-til-tale-generator, begynder pludselig at kritisere hans gameplay. The__Grim__Sleeper rapporterer derefter, at Microsoft PowerShell åbnede af sig selv, et tegn på, at en hacker brugte programmet til at køre et script, der udløste tekst-til-tale-funktionen.
RCE er en af de farligste sårbarheder
Dette var dog sandsynligvis ikke en ondsindet hacker – et skærmbillede på SpeedSouls' Discord kan afsløre “hackerens” faktiske hensigter. Ifølge indlægget vidste “hackeren” om sårbarheden og forsøgte at kontakte Dark Souls-udvikleren FromSoftware om problemet. Han blev angiveligt ignoreret, så han begyndte at bruge hacket på streamere for at gøre opmærksom på problemet.
Men hvis en dårlig skuespiller opdagede dette problem først, kunne resultatet have været meget værre. RCE er en af de farligste sårbarheder, som bemærket af Kaspersky. Det giver hackere mulighed for at køre ondsindet kode på deres ofres computer, hvilket forårsager uoprettelig skade og potentielt stjæle følsomme oplysninger, mens de er i gang.
Blue Sentinel, en fællesskabsfremstillet anti-snyd mod til Dark Souls 3, er siden blevet rettet for at beskytte mod RCE-sårbarheden. I et indlæg på r/darksouls3 subreddit forklarer en bruger, at (forhåbentlig) kun fire personer ved, hvordan man udfører RCE-hacket – hvoraf to er Blue Sentinel-udviklere, og de to andre er folk “der arbejdede på det”, evt. henviser til de personer, der hjalp med at afdække problemet.
I øjeblikket er det dog nok bedst at holde sig væk fra Dark Souls online, indtil en officiel rettelse er blevet frigivet. En Bandai Namco-repræsentant kommenterede et Reddit-indlæg som svar på problemet og sagde: “Mange tak for pinget, en rapport om dette emne blev sendt til de relevante interne teams tidligere i dag, informationen er meget værdsat!” The Verge kontaktede Bandai Namco med en anmodning om kommentar, men hørte ikke straks tilbage.