도박 소프트웨어 개발자가 포커 게임 결함을 수정하기로 이동

포커 소프트웨어 개발자는 이번 주에 도박 응용 프로그램 중 하나를 분석 한 두 명의 보안 연구원이 최근 발견 한 취약성에 대한 수정 프로그램을 구현할 계획이다.

B3W 그룹, 그는 지난 주 몰타에 기반을두고있는 취약 연구 컨설팅 업체 인 ReVuln의 Luigi Auriemma와 Donato Ferrante가 지난 주 발표 한 보고서에서 지적한 뿌리 문제를 지적했다.

B3W는 온라인 포커에 사용되는 것을 포함하여 다양한 도박 소프트웨어를 만든다 텍사스 홀덤 (Texas Hold'em), 오마하 (Omaha) 및 스터드 (Stud)와 같은 포커의 변형을위한 스킨 (skins)으로도 알려져 있습니다. 많은 포커 게임에서 사용자는 자신의 컴퓨터에 소프트웨어를 다운로드 한 다음 현실적인 실시간 게임 플레이를 위해 웹 서비스와 상호 작용합니다.

[추가 정보: Windows PC에서 멀웨어를 제거하는 방법]

ReVuln의 보고서 또한 다운로드 한 클라이언트는 공격자가 게임 소프트웨어 디자인의 일부분을 잘 볼 수 있기 때문에 포커 소프트웨어에 중점을 둔 Microgaming 및 Playtech 사의 제품을 살펴 보았습니다.

AJ Thompson, B3W의 전략 담당 이사는 IDG 뉴스 서비스에 이메일을 보내면 소프트웨어를 사용하는 플레이어가 12 년 간의 온라인 운영으로 해킹 당하지 않았다고합니다. B3W는 "고객의 보안을 매우 중요하게 생각합니다."라고 연구원은 B3W의 소프트웨어가 불안정한 HTTP 연결을 통해 자체적으로 업데이트된다는 사실을 발견했습니다. 업데이트 된 파일은 디지털 서명없이 저장되며 설치 전에 ".exe"파일은 확인되지 않습니다. 그들은 또한 B3W의 소프트웨어가 어떻게 사람의 컴퓨터에 비밀번호를 저장하는지에 대한 문제를 발견했다.

새로운 포커 클라이언트를 배포하는 업계 표준은 콘텐츠 전달 네트워크를 통한 것이라고 톰슨은 적었다. B3W는 Fileburst의 CDN을 사용합니다.

Fileburst와의 보안 연결을 사용할 수도 있지만 디지털 서명 된 보안 인증서는 전달되는 소프트웨어의 인증서와 일치하지 않을 것이라고 Thomas는 말했습니다. 그러나 B3W는 보안 업데이트를 제공하기위한 해결책을 찾았습니다. "따라서 우리는 모든 클라이언트 업데이트를 포커 클라이언트 코드가 신뢰할 수있는 서명 된 인증서를 사용하여 SSL [Secure Sockets Layer]을 통해 자체 데이터 센터로 이동하기로 결정했습니다." 톰슨은 "이번 변경으로 미확인 파일, 디렉토리 횡단 문제, 스택 기반 버퍼 오버 플로우 등을 포함한 ReVuln의 3 가지 문제를 해결할 수있다"고 전했다.

B3W는 처리 방법을 결정하지 않았다. 포커 클라이언트가 저장 한 암호. 톰슨은 "패스워드 키 체인에 의해 저장되지 않은 패스워드는 난독 화 될뿐 패스워드 패스워드를 생성하는 것은 플레이어에게 덜 편리 할 것이라고 톰슨은 썼다."

"우리는 패스워드를 저장하고 핵심 클라이언트 빌드에 이것을 도입하는 방안을 검토 중 "이라고 Thompson은 적고있다.