Amazon Gamesが開発したMMORPG「New World」のチャット欄にXSSの脆弱性があると話題になっている。現在、ゲーム内のチャットでソーセージやナッツ、とうもろこし、キャラクターの顔などさまざまな画像が投稿される事態に発展しているようだ。
A recent bug in New World has people sending massive images of in game items.
Of course gamers decided they should spam Nuts and Sausages. pic.twitter.com/YtgVuM8U5n
— HUNTER (@HunterTheHerald) October 29, 2021
I see your Sausage and raise you the "flashbang" – WAR EXPLOITABLE from newworldgame
チャット入力欄でHTMLのエスケープ処理していないことが判明
New Worldで起きているXSSの脆弱性についてYouTuberらが10月30日に検証動画を投稿している。動画内では脆弱性の影響について以下のように紹介している。
- New Worldのチャット入力欄ではHTMLのエスケープ処理がされていなかった
- HTMLの<img>タグを利用して任意の画像を送信できる
- HTMLタグに属性を加えることでプレイヤーの画面を妨害することもできる
- マウスオーバーするとゲームがクラッシュするスクリプトを仕込んだチャットを投稿できる
Amazon Gamesは「問題に対応した」と発表したが……
Amazon Gamesは公式フォーラムで「報告を受けて問題のコードが実行されないように対策を実施した」と発表。しかし発表直後も「問題が解決していない」という声が公式フォーラムやRedditで投稿されている。関連の投稿を読むと、HTMLタグ内の属性の順番を変えるだけでこの対策を突破できてしまうようだ。
hey @playnewworld
The patch you just released to stop us spamming images in general chat is really, REALLY easy to circumvent. pic.twitter.com/7hrdPAXVTO
— Josh Strife Hayes (@JoshStrifeHayes) October 29, 2021
上記の動画やReddit内では「2004年にWorld of WarcraftでもXSSの脆弱性があった」「そもそもWebセキュリティの最初に学ぶことでそれすらできていない」「問題の本質を理解できていない無意味な対策なんかして大丈夫か」といった指摘をされ、炎上状態になっている。
また先ほど紹介した動画内では「アイテムにマウスカーソルをあわせることで未達成のクエストを達成させて50ゴールドを得られる」というようなクエストクリア、ゴールド増殖にも言及。手段は明かされていないが、脆弱性の影響範囲がどこまであるのか分からない状況だ。
New WorldはSteamで4200円から購入できるが、チャットの脆弱性の問題が完全に解決されるまでは購入したりプレイしたりするのは待ってもよさそうだ。