Sponsored Contents

playstation 3の最新記事

Image credit:

PlayStation Homeにサーバ上の任意ファイル取得・アップロード・削除を許す脆弱性発覚?

Ittousai , @Ittousai_ej
2008年12月15日, 午後02:47 in Playstation 3
18 シェア
0
0
18
0
0

連載

注目記事

人気記事

速報:まさかの『詫びルギア』爆誕。ポケモンGOイベントで大規模障害、出席者には全額返金と詫びコインも

速報:まさかの『詫びルギア』爆誕。ポケモンGOイベントで大規模障害、出席者には全額返金と詫びコインも

View
速報:ポケモンGO『ルギア』『フリーザー』が国内で出現開始。サンダーとファイアーもアップ中

速報:ポケモンGO『ルギア』『フリーザー』が国内で出現開始。サンダーとファイアーもアップ中

View


壮大な開発サーガを経てついにサービス開始となったソニーの仮想世界コミュニケーションサービス PlayStation Homeですが、サーバ上の任意コンテンツの取得・削除および任意ファイルのアップロードを許す脆弱性を見つけたという報告があがっています。手順とスクリプトファイルを公開しているのはHomeのクライアント解読も発表していた"StreetskaterFU"氏。

技術的背景(というほどでもない)は飛ばして短くいえば、同氏が発見したと主張しているのはHomeのサーバとPS3側クライアントの通信が暗号化などのセキュリティをほとんど配慮しない設計になっているため、パケットを乗っ取って(書き換えて) リスクエストを送信することによりサーバー上の任意コンテンツのダウンロードおよびローカルから任意ファイルのアップロード、さらに削除が可能になるという内容。


実際に考えられる問題としては、Homeのサーバ側に悪意のあるプログラムをアップロードしてPS3 (Homeクライアント)からではなくほかの機器からアクセスしてサーバ側を攻撃する、あるいはサーバ側のオリジナルファイルを改竄して例えばバッファオーバーフローといった問題を引き起こすファイルをPS3にダウンロードさせる、あるいはLUAやJavaファイルを置き換えて非署名コードをHomeプ ロセスから実行するといった可能性が指摘されています。

発表者はどちらも実行していないと語りつつ、「この情報を元に実験してみた人がいたとしても責任はとりません」。ただしサーバ側に任意ファイルを載せられ たとしても、そこから先どこまで進めるか・単なるコンテンツ書き換え以上の深刻な問題を引き起こすことができるかはまた別の話です (POSTメソッドで任意ファイルを上げられるのはいくらなんでも想定していないと思われますが、仕様の範囲内で実害はありません、という回答もありうる)。またHomeはアバ ターの服や家具といったアイテムを有料で販売するシステムも含んでいますが、そちらについては今回の「脆弱性」公開では触れられていません。

日本以外の国では「オープンβ開始」とされており、普通に使っているだけでもサーバのURL入りエラーメッセージが出てくる段階のHomeではあるものの、今後はノンゲームも含むパートナー企業と組んだプロモーションのプラットフォームとなることが期待されるだけに続報とくに実害の有無が気になる話です。(なお、自前のウェブサーバとDNSリダイレクトを使って任意のコンテンツをローカルクライアント上のHome世界に表示・上映する「ハック」もあります。こちらは自分あるいはわざわざ接続を選んだ相手にしかみえないため比較的無害。「Homeの野良サーバ」的な遊び方はあるかもしれません)。

18 シェア
0
0
18
0
0

Sponsored Contents