按 Enter 到主內容區
:::

TWCERT-電子報

:::

Cyberpunk 2077 修復可遭惡意駭入並控制電腦的資安漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-02-09
  • 點閱次數:1433
Cyberpunk 2077 修復可遭惡意駭入並控制電腦的資安漏洞 TWCERT/CC

內文

熱門遊戲 Cyberpunk 2077 近日修復一個可讓駭侵者遠端執行任意程式碼的嚴重資安漏洞,玩家應立即安裝更新修補程式。

熱門遊戲「電馭叛客 2077」( Cyberpunk 2077)開發廠商 CD Projekt Red,近日修復一個可讓駭侵者遠端執行任意程式碼的嚴重資安漏洞;這款遊戲的玩家,均應立即安裝更新修補程式。

這個漏洞發生在利用第三方程式修改遊戲儲存檔案,以調整遊戲進度、人物屬性與擁有物件等資料的場合。一位這類遊戲修改程式 CyberpunkSaveEditor 的開發者 PixelRick,在自己的 Github 中發表了他的發現;可以利用特製的遊戲修改檔案,讓 Cyberpunk 2077 中一個未使用隨機記憶體配置(ASLR, Address space layout randomization)機制的 DLL 檔(xinput1_3.dll)發生記憶體溢位錯誤,因而取得遠端執行任意程式碼的權限。

一旦駭侵者成功取得權限,就可以在系統上安裝更多惡意軟體,發動進一步的駭侵攻擊活動。

Cyberpunk 2077 開發廠商在接獲 PixelRick 的通報後,很快在日前推出了修補更新程式 hotfix 1.12,更換了可能引發記憶體溢位錯誤的非 ASLR DLL 檔案,改為使用 Windows 10 内建的 input1_4.dll,這個 dll 會使用 ASLR 機制,因而修復了可能觸發記憶體溢位錯誤的問題。

任何不是透過 Steam 啟動 Cyberpunk 2077 遊戲,或是正在使用遊戲存檔修改工具的玩家,都應立即透過 Steam 下載安裝 hotfix 1.12 更新檔。整個遊戲更新的所需時間不到一分鐘即可完成。

影響產品

Cyberpunk 2077 hotfix 1.12 之前版本

解決辦法

透過 Steam 安裝 hotifx 1.12 更新修補程式
回頁首