{"id":743,"title":"\u041a\u0430\u043a \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0443 \u0438\u0433\u0440 \u0437\u0430\u0440\u0430\u043d\u0435\u0435 \u043e\u0446\u0435\u043d\u0438\u0442\u044c \u043e\u0431\u044a\u0451\u043c \u0440\u0430\u0431\u043e\u0442\u044b","url":"\/redirect?component=advertising&id=743&url=https:\/\/dtf.ru\/gamedev\/695009-preprodakshn-igrovyh-proektov-kak-ocenit-obem-rabot-na-starte-i-ne-sgoret-k-dedlaynu&hash=1a822d2c55da22ce0e5291ead45f52fd605c09bfa168649dd6509b03c10f15f5","isPaidAndBannersEnabled":false}
Игры
Сэм Спейд

В Cyberpunk 2077 нашли уязвимость, которая позволяет использовать вредоносные моды и сохранения Статьи редакции

CDPR уже работает над решением проблемы.

Уязвимость в Cyberpunk 2077 обнаружил моддер под ником PixelRick. Он выяснил, что эксплойт позволяет выполнять вредоносный код в игре через моды или сохранения. Уязвимость, по данным PixelRick, присутствует в Cyberpunk 2077 как минимум на двух платформах: ПК и PS4.

Моддер также считает, что CDPR знала об эксплойте ещё неделю назад, но не исправила его ни патчем, ни хотфиксом. В то же время разработчики модификаций устранили уязвимость в Cyber Engine Tweaks — наборе библиотек для запуска своих скриптов в игре. Эксплойт устранили в версии Cyber Engine Tweaks 1.9.6.

2 февраля CDPR объявила, что ей известно о проблеме, которая позволяет использовать вредоносные моды и сохранения. Разработчики сообщили, что уязвимость содержится в ПК-версии Cyberpunk 2077 и не уточняли, есть ли она в версиях игры для других платформ. Студия также призвала игроков на время прекратить использование модификаций и чужих сохранений.

Если вы планируете использовать моды/чужие сохранения @CyberpunkGame на ПК, будьте осторожны. Нам стало известно об уязвимости во внешних файлах DLL, которые использует игра, при которой они могут использоваться для выполнения кода на ПК. https://twitter.com/CDPRED_Support/status/1356604047671898112
Проблема будет устранена как можно скорее. Но пока воздержитесь от использования файлов из неизвестных источников.
Спасибо за наводку Evgeniy Tkachenko
{ "author_name": "Evgeniy Tkachenko", "author_type": "self", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u043c\u043e\u0434\u044b","cyberpunk2077"], "comments": 86, "likes": 61, "favorites": 17, "is_advertisement": false, "subsite_label": "games", "id": 629622, "is_wide": false, "is_ugc": false, "date": "Tue, 02 Feb 2021 17:47:11 +0300", "is_special": false }
0
86 комментариев
Популярные
По порядку
Написать комментарий...
39

Не одно, так другое
Нужна гифка со зверьком, который трубы закручивает, а они все равно текут.

Ответить
25

Это просто настоящий киберпанк

Ответить
1

._.

Ответить
14

Гифки нет - держи пикчу.

Ответить
1

Газманов?

Ответить
41

То есть если я ставлю чужой мод от хуй пойми кого, то виноват разработчик игры? Гениально!

Ответить
34

Моддер также считает, что CDPR знала об эксплойте ещё неделю назад, но не исправила его ни патчем, ни хотфиксом.

Мне особенно эта фраза понравилась. Рандомный модер в курсе того, чем там СДПР занимались неделю назад.

Ответить
8

Даже я в курсе чем они занимались последние 5 лет - полной ебалой. Для этого надо быть каким-то экспертом? Одного факта с ломающим сейвы крафтом достаточно, что бы понять что там не было ни норм коддинга ни норм QA

Ответить
–23

Те сектанты польские, что ставят дизы этому человеку, знайте - именно из за таких одноклеточных, как вы, игровая индустрия находится в такой жопе) Потому что вы любое говно оправдаете

Ответить
1

Странная претензия, учитывая что все люди себя так ведут по отношению к любому говну, которое едят. Вот тебе простой пример. Есть картина, это обычная мазня, такое и ребенок нарисует, но нарисовал не абы кто, а именитый художник. И тот, кто купит эту картину, будет говорить, что это искусство и бла бла бла. Вот слушаешь ты, к примеру, классическую музыку, но ребенок, лет 12, будет говорить что ты слушаешь какое-то говно, сам при этом будет слушать русский рэп. Смекаешь? Кто угодно может обвинить тебя в том что ты жрешь говно, даже аргументы приведет. Будешь ли ты с пеной у рта доказывать, что не говноед, или сам про себя решишь, что обвиняет тебя даун, и разговаривать с ним не о чем, не важно, так как это будет в любом случае оправдание твоей любви к чему-то. Что поделать, людям свойственно отставить свои интересы.

Ответить
–5

чувак это капец, еще и на тебя стригерились. Ткни их лицом - им вообще пофиг глубоко. 

Ответить
0

Та пофиг, че нам с этих минусов?) Я вообще на сайт стал редко заходить, потому что с глупыми детьми общаться просто не интересно.

Ответить
11

Рандомный модер в курсе того, чем там СДПР занимались неделю назад.

Тут правильнее сказать, что он знал чем сдпр НЕ занимались неделю назад. Он им наверняка указал на уязвимость, через неделю она все еще на месте => он понял, что ее еще не устранили.

Ответить
10

Выглядит как наброс на вентилятор.

Ответить
0

дай отредактировать комент, че сразу наброс

Ответить
8

Ну, тогда бы он написал, "сообщил об этом разрабам еще неделю назад, а им было похуй". Тогда бы эта фраза имела бы смысл. А так он просто спизданул какие-то рандомные обвинения.

Ответить
0

ну это да

Ответить
0

дело в том, что "известно" =/= "бросили всё и ломанулись исправлять именно этот баг"

у них база на 100500 багов, из которых выбирают приоритетные и те, что легко решить вместе с критичным (грубо)

и бля буду, устранение уязвимости в модах к таковым не относится.
точнее, не относилось, до широкой огласки.

Ответить
1

если он сам и сообщил им о экспройте неделю назад - то почему бы ему не быть вкурсе ?

Ответить
0

А где написано, что он им об этом сам сообщил?

Ответить
0

мне показалось это очевидным из контекста. может это и не верно.

Ответить
0

тебе не показалось

Ответить
0

Обычно такая фраза значит, что он еще неделю назад отправил им репорт, а они заигнорили или ответили "спасибо, уже знаем".

Выждал неделю, увидел, что опасный баг не исправлен в срочном порядке - написал на реддит

Ответить
0

Ну, тогда бы он написал, "сообщил об этом разрабам еще неделю назад, а им было похуй". Тогда бы эта фраза имела бы смысл. А так он просто спизданул какие-то рандомные обвинения.

Ответить
0

 CDPR was made aware of this serious security vulnerability for almost one week. They went on to release the Hotfix 1.11, but didn't bother to address this.

https://www.reddit.com/r/cyberpunkgame/comments/l8x32j/psa_cyberpunk_2077_currently_has_a_security/
Это с оригинального поста на редите, ты бы лучше чем писать тут 20 комментов доказывая людям что они не правы - перешел на оригинальный пост и почитал его, что бы убедиться что в переводе это не выпало их контекста.

Знали неделю, но нихуя не сделали. А потом сказали - ребята, не юзайте чужие файлы, моды, бла бла, потерпите.

Походу я понял про что эта игра - она про терпение. 

Ответить
1

Ну, да мне нехуй делать, только заниматься расследованием, да бы докопаться до истины. Что "здесь" написано, то "здесь" и обсуждаю.
Было бы тут тоже, что и на реддите, я бы тогда не разводил демагогию.

Ответить
1

действительно, зачем проверять короткий текстовой(!) источник, когда модно развести демагогию.

*можно. хотя и модно, нынче, тоже.

Ответить
0

Ну если ты им сообщил неделю назад об этом, и они ответили, что берут во внимание, но не исправили, то все верно написанно. 

Ответить
0

А где написано, что он им об этом сам сообщил?

Ответить
5

Ты ставишь мод для игры который использует только внутренние игровые системы, а у тебя условно в это время пароли из основного браузера экспортируются и отправляются на сторонний сервер. Да, разработчик игры виноват что допустил возможность выйти за рамки игрового окружения в модах

Ответить
7

А ты не в курсе как исполняемый код на пк работает, да? Или может хочешь чтобы тебе игра поднимала виртуальную машину с песочницей и в ней исполнялась?

Ответить
–1

Я в курсе что таких проблем нет в Ведьмаке, WoW, Скайриме, Фоллауте, GTA V, как именно они это реализовали как-то не интересовался.

Ответить
15

Ты лично проверил что там таких проблем нет? Или есть заключение от ИБ специалистов об этом? Или ты просто увидел новость про CP и решил что раз не было аналогичных новостей про другие игры, значит и моды там безопасные?

Ответить
0

Тогда в чём смысл этой новости? Почему аналогичное поведение в КП называют багом, если это естественное положение вещей?

Ответить
9

Потому что любая новость по КП генерирует трафик.

Ответить
0

А ты не в курсе как исполняемый код на пк работает, да?

Это ты походу не в курсе. 

Ответить
0

Расскажи, ну.

Ответить
0

Ну например в Unity создание доп контента для созданной игры на ней может использовать только доступный код из основной игры. Т.е. если в игре не прописаны возможности украсть пароли из браузера, то и мод не сможет.

Ответить
0

Т.е. если в игре не прописаны возможности украсть пароли из браузера

Ват? Кто прописывает в игре какой-то там код, который не позволяет воровать пароли из браузера?) 

Ответить
0

Так об этом и разговор. Моды получается не могли бы получить. А если моды могут принести свой код, который будет исполняться с правами игры, то это дыра. Например вот в киберпанке.

Ответить
0

Да что ты говоришь? Вот например Cities: Skyline написанная на unity. Открываю файлы скаченных модов из воркшопа и вижу кучу dllок. И конечно же, любой мод делает только то, что авторы запрограммировали в игре сами, но при этом не стали включать, чтобы модерам тоже был хлеб, ага.

Ответить
0

Я говорил про дефолтное поведение. Кончено можно много чего сделать. 
Как же душно.

Ответить
0

А ты не в курсе как исполняемый код на пк работает, да?

"какой интернет, что Вы! я просто открываю нескейп и сёрфлю"
=]

Ответить

Организованный хичхакер

Sergey
1

В задачу разработчика любого ПО в идеале входит минимизация рисков и всяческих уязвимостей. Тут никто никого не обвиняет (кроме некоторых СМИ, слабо ориентирующихся в предмете и просто делающих себе траффик), просто способов исполнять вредоносный код на данный момент больше, чем могло быть. Если практически каждый мод для любой игры, основанный на DLL injection – это опасная данность для любого любителя модов, то данная уязвимость пошла чуть дальше, и для её использования достаточно специального файла сохранения, и даже вторгаться в процесс и память игры не нужно.

Этот тип уязвимостей часто связан с ошибками типа "переполнения буфера" при чтении, одна из самых популярных. Более того, в уязвимости косвенно виновата сторонняя библиотека Microsoft. Поэтому от CDPR просто ждут закрытия конкретно этой уязвимости. Сильно безопаснее пользоваться модами после этого не станет :)  

Ответить
0

ох уж эти умники! весь кайф ломают, поляков обсерать мешают!11

=)

Ответить

Оборонный кавалер

27

Ни дня без обнаружения проблем в КП2077

Ответить
5

Выражение лица бесценно

Ответить
1

Эта игра одна большая проблема

Ответить
13

Мододелы ковыряют двиг. Находят критическую уязвимость, сообщают прожектам и выпускают временный фикс в рамках своего мода.
_
В тред влетает журналист с двух ног и вот уже написькано в твОттер, потом кто-то передрал на реддит и потом прикочевало сюда. И вот уже рождается такое:
"Моддер также считает, что CDPR знала об эксплойте ещё неделю назад, но не исправила его ни патчем, ни хотфиксом"

_
Хотя правда в том, что неделю назад он просто написал прожектам, а 3 февраля выпуcтили апдейт CET. Причём за день до этого, 2 февраля, сдпр официально дала заявление по ситуации. Джонни был прав насчет журналистов.

Ответить
–1

 Хотя правда в том, что неделю назад он просто написал прожектам

А это не его проблема как быстро они у себя читают почту, или ему что, надо было идти к ним в офис на поклон и лезть в форточку крича про баг?

Ответить
1

Нет, всем похуй кроме пару дурачков с обеих сторон. Вы к кому себя причисляйте, хотя и на это мне глубоко похуй, я люблю употреблять слово похуй и мне похуй что там все думают по этому поводу. 

Ответить
0

"Крупная польская Компания изнасиловала журналиста"

Ответить
8

Комментарий удален по просьбе пользователя

Ответить
7

Точно помню, что такое было в Варкрафте 3. А так, возможно, это есть в каждой второй игры с модами. Просто особо никто не искал.

Ответить
8

А, игра про это
( ͡° ͜ʖ ͡°)

Ответить

Сумасшедший ГОСТ

7
Ответить
6

писец,новость высосана из пальца,не устанавливайте сторониие моды,там может быть вирус

Ответить

Интеллектуальный корабль

6

Очередная метапостотсылка. Гениальная игра!

Ответить
0

Эм... Поясните за вредоносность, плиз. Чужой сейв может исполняться на exe-шник с вирусом выполняющим что-то помимо туристических прогулок по улицам Найтсити?

Хм... Никогда раньше не думал, что так вообще можно. Кек,) 

Ответить
17

запаковали демона ну и он сразу лед пробил на компе и обнулил тебя :D

Ответить
2

Вот-вот, это всё Сетевой дозор, чумба, отвечаю!,)

Ответить
0

 Хм... Никогда раньше не думал, что так вообще можно. Кек,)

В теории может быть, если в сохранение записываются некие скрипты, которые может исполнять движок игры при загрузке сейва. А дальше дело техники. Правда нахрена это кому надо... Ну если только по принципу Джея и Мочаливого Боба, пытавшихся знакомится рядом с абортарием - типа если шифрануть файлы у владельца CP2077, то он скорее всего заплатит :) 

Ответить
2

Зойчем шифровать? Если у человека на ПК есть Киберпанк, значит, его видеокарточка вполне может майнить Монеро. Скачиваешь чужой сейв, и твой ПК переезжает в уютный ботнет, майнящий крипту каким-нибудь китайцам. Очень киберпанково, на мой взгляд.

Ответить
0

Не, ну могут исполняться какие-то вирусы, судя по всему. А их, обычно, используют для кражи данных, сбора их в большие библиотеки и продажу. Ну, на сколько я понимаю весь этот аморальный движ с вирусам от прогеров импотентов.

Ответить
0

Если в механизме загрузки используется какой-нибудь уязвимый метод чтения, то его можно использовать чтобы переписать область памяти, в которую передается управление, и вставить туда ссылку на свой код.

Это если очень грубо.

Ответить
0

Стандартные сишные функции чтения и записи этим грешат, например.

Ответить
5

То есть если я скачал мод с трояном внутри с подозрительного сайта и установил его в результате чего мой компьютер взломали то в этом виноваты разработчики игры я правильно понял?
Уже можно бежать подавать судебный иск на разработчиков за все скачанные мной и мной же установленные трояны? Билли где заплатки на окно?...

Ответить
4

CDPR уже работает над решением проблемы.

Прямо вижу как весь штат работающий над исправлением геймплейных ошибок переведен на работу с эксплойтом. Патч февраля обещает быть хорошим :)

Ответить
4

В Warcraft 3, с использованием внутреннего языка Jass, на котором в кастомных картах умельцы творили настоящую магию, тоже в конце концов научились запускать вредоносный код на ПК из самой кастомной карты игры. А когда Близзард исправила проблему, много кастомных карт оказались сломанными. И такое вот бывает.

Ответить
4

Для любой игры использование любого мода с исполняемым кодом - это по умолчанию риск получить вредонос. Как говориться, доброго утречка, зумерки и игрожурналисты.

Ответить

Пограничный татарин

–14

Достойный продукт, блять, просто достойнейший.

«Да это охуенное молоко вы нихуя не понимаете!»
Позднее:
«В польском молоке обнаружены черви, съедающие вашу жопу.»

Ответить
3

называется высосать с пальца, 99% процентов "моддерских" приблуд подменяют dll чтобы внедрить свой корявый код в процесс..

Ответить

Указанный вентилятор

2

Находим проблему. обвиняем разрабов в том, что они давно о ней знали. Срываем плюсы/донат. Profit!

Ответить
2

Действительно. Ведь починить такие скрипты и ничего не сломать в игре, это же так просто.
Многие просто на пустом месте включают "Hate mode".

Ответить

Указанный вентилятор

Иван
0

Скайрим/Фоллаут передает привет

Ответить
2

Иммерсивно)

Ответить
1

Не зря нетраннерские навыки качал

Ответить
1

Иронично)

Ответить
1

Хорошей игре хорошие уязвимости.

Ответить
1

Уязвимость во внешних файлах длл? Ахах, это они серьёзно сейчас? 

Ответить

Комсомольский спрей

–9

Фанатики и эту хрень от cdpr оправдают)) зря живут что-ли 😄

Ответить
2

что ты высрал сейчас?

Ответить
0

Походу не дождусь исправления всех багов( 

Ответить
0

Так ограничение в 8 Мб на сейв было защитой.

Ответить
0

Интересная теория, но нет ты ж качаешь заражённый сейв а он и меньше 8 мб может быть

Ответить

Комментарии

null