Уязвимость в клиенте Second Life поможет взломать счета пользователей
В клиентской программе для входа в виртуальный мир Second Life от Linden Labs обнаружена уязвимость, позволяющая злоумышленнику похитить реквизиты доступа и, в конечном итоге, похитить со счета виртуальные линден-доллары, конвертируемые в реальные американские.
При установке клиент Second Life регистрирует новый протокол URI, secondlife://. Его можно использовать для передачи параметров клиенту. Атакующие могут встроить во вредоносную веб-страницу код, заставляющий клиента передать параметры входа в Second Life на сторонний сайт.
Уязвимость обнаружил исследователь Петко Петков (Petko Petkov), сообщает Heise-security.co.uk.
Хотя пароль передается в виде хэша MD5, который невозможно расшифровать напрямую, хакеры могут провести словарный подбор, зашифровывая при помощи MD5 слова и сверяя их с добытым хэшем.
Возможно, хакерам не приглянутся счета пользователей Second Life в линден-долларах. По данным опроса, лишь немногие игроки хранят на счету более 250 тыс. этих единиц, что эквивалентно $875. К тому же, большую сумму денег вывести из Second Life будет сложно, т.к. максимальная сумма перевода пропорциональна времени пребывания пользователя в системе.
При установке клиент Second Life регистрирует новый протокол URI, secondlife://. Его можно использовать для передачи параметров клиенту. Атакующие могут встроить во вредоносную веб-страницу код, заставляющий клиента передать параметры входа в Second Life на сторонний сайт.
Уязвимость обнаружил исследователь Петко Петков (Petko Petkov), сообщает Heise-security.co.uk.
Хотя пароль передается в виде хэша MD5, который невозможно расшифровать напрямую, хакеры могут провести словарный подбор, зашифровывая при помощи MD5 слова и сверяя их с добытым хэшем.
Возможно, хакерам не приглянутся счета пользователей Second Life в линден-долларах. По данным опроса, лишь немногие игроки хранят на счету более 250 тыс. этих единиц, что эквивалентно $875. К тому же, большую сумму денег вывести из Second Life будет сложно, т.к. максимальная сумма перевода пропорциональна времени пребывания пользователя в системе.
Ещё новости по теме:
18:20