Zum Inhalt springen
logo Das Magazin für digitalen Lifestyle und Entertainment
Hacker-Gefahr

Blizzard stopft endlich Sicherheitslücke, die 500 Millionen Spieler bedrohte

Das amerikanische Spiele-Unternehmen Blizzard hat kürzlich eine Sicherheitslücke in ihrem System geschlossen, die anfällig für Hackerangriffe gewesen war. Noch ist unklar, ob bereits Angriffe stattgefunden haben.

Die Lücke betraf den Blizzard Launcher, die PC-Plattform, über die alle Blizzard-Spiele laufen, unter anderem beliebte Spiele wie „World of Warcraft“, „Overwatch“ und „Diablo III“. Dabei handelte es sich sogar um eine Schwachstelle, die Hacker sehr leicht hätten nutzen können.

YouTuber verliert Tausende Euro mit FIFA-Lootboxen

Google-Mitarbeiter entdeckte Lücke

Die Lücke hat Google-Mitarbeiter Tavis Ormandy entdeckt, der das Unternehmen bereits im Dezember 2017 darauf aufmerksam machte. Am Montag dieser Woche wiederholte er via Twitter seine Warnung, nachdem Blizzard die Kommunikation plötzlich mit ihm abgebrochen hat. „Alle-Blizzard Spiele wären gegenüber DNS Rebinding verwundbar“, schrieb er. In seinem Bericht auf Cromium Bug Tracker hält er das genaue Problem fest.

Warum das möglich ist, liegt an der Funktionsweise des Launchers. Er verfügt über ein Update-Programm, das regelmäßig Inhalte installiert und verwaltet, beispielsweise Patches für Spiele. Für diese Verwaltung erhält er Befehle von Blizzard-autorisierten Websites. Die Gefahr bestand darin, dass ein Hacker mit einer gefälschten Autorisierung eigene Befehle hätte diktieren können, beispielsweise Schadcodes auf die Computer der Spieler übertragen.

Der Begriff „DNS Rebinding“ meint hierbei den Vorgang der Fälschung, indem der Hacker eine Domain mit einem gekaperten DNS-Server namentlich so anpasst, dass der Launcher ihn für Blizzard hält. Nachdem Blizzard der Lücke mit einer unzureichenden Black List entgegenwirken wollte, arbeitet das Unternehmen jetzt mit Ormandy an einer effizienteren White List. Die Black List sollte dem Launcher alle potenziell gefährlichen Browser auflisten, was aber ein nicht aufgenommener Browser hätte einfach umgehen können. Stattdessen wird die geplante White List nur alle autorisierten Browser enthalten.

Sie haben erfolgreich Ihre Einwilligung in die Nutzung unseres Angebots mit Tracking und Cookies widerrufen. Damit entfallen alle Einwilligungen, die Sie zuvor über den (Cookie-) Einwilligungsbanner bzw. über den Privacy-Manager erteilt haben. Sie können sich jetzt erneut zwischen dem Pur-Abo und der Nutzung mit Tracking und Cookies entscheiden.

Bitte beachten Sie, dass dieser Widerruf aus technischen Gründen keine Wirksamkeit für sonstige Einwilligungen (z.B. in den Empfang von Newslettern) entfalten kann. Bitte wenden Sie sich diesbezüglich an datenschutz@axelspringer.de.