Nintendo hat in den vergangenen Monaten eine kritische Sicherheitslücke in einigen ihrer älteren Titel gestopft. Das berichtet das Onlineportal Nintendo World Report. Um Opfer der Sicherheitslücke zu werden, reicht offenbar einfaches Onlinespielen aus.
Der so genannte "ENLBufferPwn"-Exploit , der mit 9.8 / 10 (Critical) auf der Skala des Common Vulnerability Scoring System (CVSS) eingestuft wurde, erlaubt es in älteren Nintendo-Spielen wie Mario Kart 7, die Konsole durch einen Angreifer vollständig zu übernehmen. Dabei können auf dem System vorhandene Bezahlinformationen wie Kreditkartendaten ausgelesen werden, oder der Angreifer nutzt Kamera und Mikrofon von 3DS und WiiU zum Aufzeichnen von Video- und Audiodaten. Betroffene Spiele enthalten offenbar kein Limit für übertragene Daten. Diese Übertragungsfunktion ist eigentlich nur für kleine Datenmengen wie beispielsweise das eigene Mii gedacht, aber mangels Limit können nach einer Übernahme so viele Daten übertragen werden, wie der Angreifer möchte, ohne dass der Nutzer selbst das mitbekommt. Der Twitteruser PabloMK7 veröffentlichte ein Video, in dem der rechts zu sehende 3DS von dem linken 3DS aus übernommen wird.
In der auf Github.com veröffentlichten Sicherheitswarnung sind folgende Spiele aufgeführt:
Für Mario Kart 7 wurde inzwischen ein Patch auf Version 1.2 veröffentlicht (das erste Update seit über einem Jahrzehnt), und auf der Switch wurden betroffene Spiele entweder im Rahmen anderer Updates oder speziell zum Stopfen des Lecks geflickt. Auf der WiiU scheint sich hingegen noch nichts getan zu haben. Da auf dem 3DS Patches speziell aus dem eShop heruntergeladen werden müssen, könnte es durchaus sein, dass eventuell noch bestehende Sicherheitslücken in anderen Spielen aufgrund der Abschaltung des eShops Ende März gar nicht mehr gestopft werden können. Zumindest für Mario Kart 7 besteht daher akuter Handlungsbedarf.
88 Kudos
Unabhängig. Meinungsstark.
Ahh, ich dachte, da wäre ein neuer Major Exploit gefunden. Der ENLBufferPwn ist bekannt seit Dezember.
Davor hatte man sich schon gewundert, wieso Mario Kart 7 überhaupt ein Update bekommt. Wieso die WiiU Spiele nicht upgedatet wurden, kann natürlich nur spekuliert werden, aber Nintendo wird ja sicherlich die Spielerzahlen kennen. Der Anteil wird wohl so verschwindend gering sein, dass sie sich gegen Updates entschieden haben.
Da es aber eine doch recht vitale Moddingszene für die Nintendokonsolen gibt, wurden inoffizielle Patches für Splatoon und Mario Kart 8 veröffentlicht (https://github.com/PretendoNetwork/rce_patches/releases/). Falls andere bekannt werden würden, würden die sicherlich auch so gepatcht. Da WiiU und 3DS Hacks an sich ja so bequem zu installieren sind, würde ich das auch für die Systeme als vernachlässigbares Problem sehen.
Das mit Dezember stimmt. Ich selbst bin aber gerade erst darüber gestolpert und dachte mir, da der 3DS-eShop Ende März abgeschaltet wird, ist es nochmal eine News wert. Wobei niemand weiß, ob Patches nicht auch weiter geladen werden können wie gekaufte Titel.
Niemand weiß? Es wurde doch klar kommuniziert dass nur das “Kaufen” abgeschaltet wird.
“Das erneute Herunterladen von Spielen, DLC und Software-Updates sowie das Online-Spiel auf Wii U-Konsolen und Nintendo 3DS-Systemen wird auch nach 27. März 2023 und in absehbarer Zukunft weiterhin möglich sein.”
Schaun mer mal. Online ist nicht wirklich Nintendos Kernkompetenz.
Mag sein, aber immerhin kann man DSi oder Wii Titel immernoch runterladen. Microsoft (Games for Windows Live, nicht mehr runterladbar) oder Sony (Hunderte verkaufter Lizenzen aus dem PlayStation Store einfach entfernt), sind was das angeht ja dann scheinbar die Kernkompetent in Sachen Online…
Zumindest auf dem 3DS muss man das Mario Kart 7 Update aus dem EShop besorgen (ok, der Wii Eshop war letztes Jahr auch noch an und man konnte sich ein paar Sachen runter laden).
WiiU Updates würden theoretisch automatisch beim starten des Titels runtergeladen.
Ja, aber der eShop bleibt ja online. Nur kann man halt keine Sachen mehr kaufen. Downloads sind ja, wie auch bei Wii und DSi, weiterhin möglich.
Erpressung mit Penisbildern die über eine 3DS Kamera gemacht wurden.
Niemand wird je sicher sagen können, ob es ein überfahrener Iltis oder ein Geschlechtsteil war.
immerhin in 3D
RTX on?
Danke für die Warnung.
Ich bewundere ja ehrlich die Kreativität der Hacker. Wenn die mit dem Hirnschmalz sinnvolle Dinge tun würden...
Sicherheitslücken finden und veröffentlichen, so dass Menschen nicht davon beeinträchtigt werden, ist für dich nicht sinnvoll? Und außerdem: Kommentare auf Spieleseiten posten ist auch nicht sinnvoll, und wir machen es trotzdem. ;)
Ich bezog mich eher auf den kriminell tätiger Hacker. Nicht die Leute, die damit den Schutz anderer vor Sicherheitslücken im Sinn haben.
Um die geht es hier aber nicht, die hätten das nicht veröffentlicht und dann gäbe es diese News nicht. :)
Nun gut. Habe ich in meinem Aufsatz wohl das Thema verfehlt. :)
Das ist so wie wenn ein kleines Stück Zaun in der Wüste fehlt.
Oder eine Ameise stolpert über einen klitzekleinen Sandkorn.
Für dich klitzekleine, oder für die Ameise?
Habe jetzt tatsächlich Mario Kart auf meinem 2DS geupdated.
Ab welchem DS kann man ins Internet und Updates durchführen?Hab nen standard DS. Glaub da kann man nicht ins Internet.
Erst ab dem 2DS/3DS.
Ah interessant. Wenn es noch einen Shop gibt, umso besser. Danke
Mario Kart 7 gibt es für die 3DS/2DS Familie und die können alle ins Internet. Mit Online Gaming, EShop (der am 27.3.23 - also in 3 Wochen schliesst) und allem Pi Pa Po. Es gab auch eine YouTube App dafür die sogar 3D Inhalte angezeigt hat.
Ab dem DSi.
DSi?Nie gehört, mal googlen. Danke.
Stimmt, der konnte das auch schon, aber da gab es keinen vollwertigen Shop, oder? Ich habe selbst nur den normalen DS bzw. DS lite.
Doch, gab einen DSi Shop, in dem es DSiWare gab:
https://de.wikipedia.org/wiki/DSiWare
Naja, aber vollwertig war der nicht. Es gab nur spezielle DSi-Ware, aber nicht auch die Spiele, die auf DS-Modul erschienen.
Das war bei PS3 und Xbox 360 aber am Anfang nicht anders. War halt auch eine andere Zeit.
Der DS kann aber Spiele über Wireless, damit müsste er doch auch anfällig sein. Oder ist die Lücke nur bei WLan Verbindungen?
Edit: Den Nintendo Browser gabs schon für den DS. Der DS kann also schon Wlan. Hab grad die Verpackung rausgesucht.