• 發布單位:TWCERT/CC
• 更新日期:2020-12-09
• 點閱次數:3181

全球玩家多達 220 萬的 PlayStation Now 遊戲服務，其所屬 Windows 應用程式遭資安專家發現一個漏洞；該漏洞可導致駭侵者藉以駭入玩家電腦，遠端執行任意程式碼。

發現此漏洞的資安專家 Parsia Hakimian 於今年五月發現這個漏洞；這個漏洞可讓未經授權的駭侵者發動程式碼注入攻擊。

PlayStation Now 安裝在 Windows 電腦中的 psnowlauncher.exe 在執行後，會透過 AGL Electron 應用程式，於本機連接埠 1235 啟動的 WebSocket 伺服器；駭侵者可利用 AGL 連上存有惡意軟體的網站，載入任意的惡意 JavaScript 程式碼，因為 AGL 不會針對連線 URL 進行必要的檢查。

Hakimian 說，駭侵者可以利用多種方法誘使用戶點按惡意連結，例如透過釣魚郵件、遊戲社群或聊天室來散布惡意網站的 URL。這個漏洞會影響的 PS Now 版本為所有執行在 Windows 7.1 SP1 與後續 Windows 版本的 PS Now 11.0.2 與較舊版本。

Hakimian 在今年五月透過 HackerOne 的漏洞有獎徵答比賽，將這個漏洞回報給 Sony 公司；Sony 隨即在六月底就解決了這個漏洞。

• 影響產品/版本：執行於 Windows 7.1 SP1 與後續 Windows 版本的 PS Now 11.0.2 與較舊版本

• 解決方案：更新至最新版本 PS Now