Gumagana ang developer ng software na gumagalaw upang ayusin ang mga flaw ng laro ng poker

Ang isang developer ng software ng poker ay nagpaplano na ipatupad ang isang pag-aayos sa linggong ito para sa isang kahinaan na natuklasan kamakailan ng dalawang mananaliksik ng seguridad na nag-aralan ang isa sa mga application ng pagsusugal nito.

B3W Group, na nakabase sa Malta, Sinabi nito na kinilala ang problema sa root na itinuturo sa isang ulat na inilabas noong nakaraang linggo ni Luigi Auriemma at Donato Ferrante ng ReVuln, isang consultancy research na kahinaan na nakabase sa Malta.

B3W ay gumagawa ng isang hanay ng software ng pagsusugal, kasama na ginagamit para sa online poker Ang mga kuwarto, na kilala rin bilang mga skin, para sa mga pagkakaiba-iba ng poker tulad ng Texas Hold'em, Omaha at Stud. Maraming mga laro sa poker ang nangangailangan ng mga user na mag-download ng software sa kanilang mga computer, na pagkatapos ay nakikipag-ugnayan sa isang serbisyo sa web para sa isang makatotohanang, real-time na pag-play ng laro.

[Karagdagang pagbabasa: Paano alisin ang malware mula sa iyong Windows PC]

ReVuln's report, na tinitingnan din ang mga produkto mula sa mga kumpanya na Microgaming at Playtech, na nakatutok sa software ng poker dahil ang na-download na client ay nagbibigay-daan sa mga attackers na makakuha ng isang mahusay na pagtingin sa bahagi ng software ng laro ng laro.

AJ Thompson, direktor ng diskarte ng B3W, ay nagsulat sa isang email sa IDG News Service na ang mga manlalaro gamit ang software nito ay hindi pa na-hack sa 12 taon ng operating online. B3W ay tumatagal ng "sineseryoso ng seguridad ng aming mga kliyente," sinulat niya.

Nalaman ng mga mananaliksik na ang software ng B3W ay ina-update ang sarili sa isang hindi secure na koneksyon sa HTTP. Ang na-update na mga file ay naka-imbak nang walang mga digital na lagda, at ". Exe" na mga file ay hindi na-verify bago mag-install. Natagpuan din nila ang mga isyu sa kung paano ang mga software ng B3W ay nag-iimbak ng mga password sa computer ng isang tao.

Ang pamantayang pang-industriya para sa pamamahagi ng mga bagong poker client ay sa pamamagitan ng mga network ng paghahatid ng nilalaman, isinulat ni Thompson. Ang B3W ay gumagamit ng isang CDN mula sa Fileburst.

Ang paggamit ng isang secure na koneksyon sa Fileburst ay posible, ngunit ang digital na sign na sertipiko ng seguridad ay hindi tumutugma sa software na naihatid, sumulat si Thomas. Ngunit ang B3W ay nakahanap ng isang solusyon upang maihatid ang mga secure na update.

"Kami ay nagpasya na ilipat ang lahat ng pag-update ng client sa aming sariling mga sentro ng data sa SSL [Secure Sockets Layer] gamit ang isang pinirmahang sertipiko na pinagkakatiwalaang ng code ng poker client," siya ay sumulat.

Ang mga pagbabago ay aalisin ang tatlong mga isyu na nakabalangkas sa ReVuln, kabilang ang mga nasa paligid ng pagsasagawa ng isang hindi na-verify na file, isang direktoryo ng transversal isyu at isang stack-based buffer overflow, Thompson wrote.

B3W ay hindi nagpasya kung paano pangasiwaan mga password na naka-save ng poker client. Ang mga password na hindi naka-imbak sa pamamagitan ng isang password key chain ay maaari lamang na obfuscated, at upang lumikha ng isang password para sa isang password ay magiging mas maginhawa para sa mga manlalaro, Thompson wrote.

"Mayroon kaming isang bumuo ng isang client na hindi pinapayagan ang pag-save ng password, at isinasaalang-alang namin ang pagpapakilala ng ito sa core client build, "sinulat ni Thompson.