Il ricercatore di sicurezza shalzuth ha recentemente scoperto una vulnerabilità di Remote Code Execution (RCE) in Marvel Rivals, che potrebbe consentire a un attaccante connesso alla stessa rete di eseguire codice arbitrario sul dispositivo di un altro giocatore.
Questo tipo di exploit risulterebbe particolarmente pericoloso, poiché permette di eseguire comandi dannosi senza che la vittima ne sia consapevole.
La falla di sicurezza è dovuta al sistema di hotfix patching del gioco, che utilizza l’esecuzione remota del codice senza verificare la connessione con il server ufficiale.
Inoltre, il gioco viene eseguito con privilegi di amministratore per motivi legati all’anti-cheat, aumentando ulteriormente il rischio di attacchi.
Questa vulnerabilità non riguarda solo i giocatori su PC, ma potrebbe anche costituire un possibile punto di ingresso per altri exploit su console PlayStation 5, come dimostrato nella proof-of-concept condiviso dallo stesso ricercatore.
Shalzuth critica apertamente la scarsa consapevolezza della sicurezza da parte degli sviluppatori di videogiochi, affermando di aver scoperto almeno cinque bug critici in titoli molto popolari nell’ultimo anno.
Di questi, tre sono ancora presenti perché gli sviluppatori non rispondono alle segnalazioni o non mostrano interesse nel correggerli.
Il ricercatore sottolinea inoltre la difficoltà nel segnalare vulnerabilità ai team di sviluppo, evidenziando la mancanza di programmi di bug bounty, che incentiverebbero una gestione più responsabile della sicurezza.
Fonte: shalzuth.com
