CD Projekt Red подтвердила, что моды для Cyberpunk 2077 и сторонние сохранения небезопасно использовать из-за уязвимости



    2 февраля 2021 года студия CD Projekt Red предупредила пользователей, что сторонние сохранения и моды для Cyberpunk 2077 небезопасно использовать из-за уязвимости в игре. Злоумышленники могут получить контроль над системой игрока через внешние библиотеки dll с вредоносным кодом, которые игра задействует для своей работы, а в некоторых случаях даже требует их наличия. Уязвимость, позволяющая выполнять произвольный код из-за переполнения буфера, есть в текущих версиях игры для ПК и консоли PS4, она не устранена в патче 1.1 для Cyberpunk 2077.

    Разработчики пообещали устранить проблему как можно скорее, но точную дату выпуска патча не раскрыли. CD Projekt Red посоветовала пользователям воздержаться от использования сторонних модов и чужих сохранений ради их безопасности.

    В конце января этого года пользователь Reddit рассказал об обнаруженной им уязвимости в системе безопасности игры, связанной с использованием сторонних dll в некоторых модах, а также при открытии чужих файлов сохранений. По утверждению автора публикации, эта уязвимость могла быть использована для проникновения на официальные серверы CDPR.

    Разработчик под ником yamashi выложил на GitHub попатченный от этой уязвимости набор библиотек Cyber Engine Tweaks, который фанаты игры используют для запуска различных скриптов и модов. Сторонний патч к игре доступен для версии на ПК, файлы Cyber Engine Tweaks 1.9.6 нужно скопировать в папку «Cyberpunk 2077\bin\x64». Разработчик уточнил, что после этого, в худшем случае, игра начнет вылетать, если пользователь активирует мод или запустит сохраненную игру с вредоносным кодом.

    В конце декабря 2020 года разработчики Cyberpunk 2077 предупредили пользователей об ошибке с файлами сохранения. Оказалось, что если сохранение будет размером более 8 МБ, то при попытке загрузки игры оно повреждается и не может быть восстановлено. Эту проблему CD Projekt Red устранила в патче 1.06.

    22 января CD Projekt Red выпустила глобальный патч 1.1, устраняющий большое количество ошибок в игре. Как оказалось, в этом патче были ошибки, которые ломали некоторые квесты. Разработчики через шесть дней выпустили хотфикс 1.11, которые исправлял проблемы после установки патча 1.1.

    В конце января 2021 года CD Projekt Red открыла страницу с официальными инструментами для создания модификаций и изменений для Cyberpunk 2077.

    Обновление публикации на 5 февраля: CD Projekt Red выпустила хотфикс 1.12. Этот патч устраняет уязвимость, которая может использоваться как часть удаленного выполнения кода (включая файлы сохранения). Фактически хотфикс исправляет проблему переполнения буфера, он удаляет/замененяет библиотеки DLL, отличные от ASLR.

    Комментарии 12

      +1
      А что, обычно апи модов ограничено?
      Я сколько писал, чаще всего доступ к системе просто есть и всё.
      Почему эта новость настолько важна и что тут такого?
        +1

        Если сравнивать с каким-нибудь Skyrim, то там из обычных модов произвольный код не выполнишь — можно манипулировать только игровыми объектами используя специальный скриптовой язык.


        Тут важнее то, что "API модов" официально для Киберпанка ещё нет.

          0

          Это в официальном CreationKit, если SKSE использовать, то можно в принципе что угодно делать.
          Вот для CP скорее всего что-то вроде SKSE и есть

            0

            Я моддингом сам почти не занимался, так что могу ошибаться, но вроде SKSE просто добавляет в интерпретатор скриптов ряд дополнительных функций для доступа к движку, а не позволяет что угодно в системе выполнять.

              0

              У SKSE есть т.н. Plugin API, используя который можно добавлять функционал через dll-ки, подгружаемые самим SKSE

                0

                Точно, про плагины забыл. Это, правда, немного другое, чем моды, их довольно мало и они кладутся в другую папку.

            0
            И, по всей видимости, в обозримом будущем не будет
          +3

          Ну как бы когда "сторонний мод" включает в себя dll-ки, как бы вполне очевидно, что там может быть всё, что угодно (в том числе и трояны).


          Замечу, что "модов" в стандартном понимании игра на данный момент не поддерживает (есть только внешний доп. инструментарий для кастомизации процесса загрузки доп. контента)

            0

            Есть неофициальный CyberEngineTweaks, который дает доступ к api игры через lua скрипты. Так что моды вполне есть.

            +1

            А в чем заключалась уязвимость и как автор CET пофиксил её? В статье ни слова о том, что же такого страшного в переполнении, при условии, что все моды сейчас требуют CET, являющийся загрузчиком модов, который инжектится в игру своей dll'кой

              0

              Как только сделали мод с сценами секса с Киану, так проджекты сразу очухались, мол моды не безопасны и вообще нарушают права человека. На то они и моды, чтобы делать то, на что разрабы пойти не могут.

                0
                Уязвимость в чем заключалась в итоге?

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое