[XB] Une faille majeure dans les services de jeu Xbox

1043 visiteurs sur le site | S'incrire

Accédez aux coordonnées de l’ensemble des techniciens professionnels recommandés par logic-sunrise 20 derniers dossiers et tutoriaux
Xbox 360 / One
[XB] Une faille majeure dans les services de jeu Xbox
 
Microsoft vient d'annoncer avoir découvert une faille majeure dans les services de jeu Xbox, une mise à jour doit rectifier le tir et ainsi protéger les utilisateurs. 
 
Tous les constructeurs sont touchés par ce genre de failles de sécurité, récemment nous avons vu le PlayStation Store être inutilisable, ou bien encore Nintendo il y a quelques mois qui subissait ENLBufferPwn, en publiant de nombreux correctifs pour chaque jeu en ligne. 
 
Là aussi cette vulnérabilité pourrait permettre à un pirate d'accéder à des parties protégées du code Microsoft, la firme de Redmond informe qu'une faille de sécurité a été détectée dans les services de jeu Xbox le 20 Mars 2024.
 
 
 
 
Selon les dire de Microsoft " Un programme parviendrait à exploiter cette vulnérabilité pour obtenir des privilèges système " sans en dire davantage si ce n'est qu'il s'agit de la CVE-2024-28916, par contre cette faille touche l'ensemble des applications Xbox, Xbox Family Settings ou celles du Game Pass sur PC, console et mobile.
 
 
Quels privilèges pourrait-il obtenir s’il parvenait à exploiter cette vulnérabilité ?
 
- Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir des privilèges système.
 
Selon les métriques CVSS, le vecteur d’attaque est local (AV:L) et les privilèges requis sont faibles (PR:L). Quelles sont les répercussions de cette vulnérabilité ?
 
- Un attaquant doit disposer d’un accès local à l’ordinateur ciblé et doit être en mesure de créer des dossiers et des traces de performance sur l’ordinateur, avec des privilèges restreints attribués par défaut à tous les utilisateurs.
 
Comment obtenir l'application de mise à jour ?
 
- Le Microsoft Store mettra automatiquement à jour les clients concernés. Les clients peuvent également obtenir la mise à jour immédiatement ; voir ici pour des informations sur les applications installées sur votre appareil.
 
- Il est possible de désactiver les mises à jour automatiques du Microsoft Store. Le Microsoft Store n'installera pas automatiquement cette mise à jour pour ces clients.
 
- Si vous souhaitez obtenir des mises à jour immédiatement, ou si les mises à jour automatiques ne sont pas activées, sélectionnez Obtenir des mises à jour. Vous pouvez ensuite mettre à jour les applications individuellement en sélectionnant Mettre à jour pour chaque application, ou vous pouvez sélectionner Mettre à jour tout pour installer toutes les mises à jour. Nous vous recommandons de sélectionner Mettre à jour toutes les applications afin de rester protégé.
 
- Les clients qui utilisent le Microsoft Store for Business et le Microsoft Store for Education peuvent obtenir cette mise à jour par l'intermédiaire de leur organisation.
 
Comment puis-je vérifier si la mise à jour est installée ?
 
Les versions 19.87.13001.0 et ultérieures du paquet d'applications de ses services de jeu contiennent cette mise à jour.
 
Vous pouvez vérifier la version du paquet dans PowerShell :
 
 
get-appxpackage Microsoft.GamingServices

 

 

 
Selon les métriques CVSS, une exploitation réussie pourrait provoquer un changement d’étendue (S:C). De quoi s’agit-il pour cette vulnérabilité ?
 
Une vulnérabilité exploitée peut toucher les ressources en dehors de l’étendue de sécurité gérée par l’autorité de sécurité du composant vulnérable. Dans ce cas, le composant vulnérable et le composant impacté sont différents et gérés par des autorités de sécurité distinctes.
 
 
Tout est là pour le côté Microsoft : CVE-2024-28916
 
 
Côté développeur, c'est Wh04m1001, Filip Dragovich, a qui l'on doit tout ce travail impressionnant. Il a dévoilé une vidéo de démonstration sur son profil Github, il propose régulièrement des failles, et celle là marquera les esprits. 
 
 
 
 
 
 
Tout est là : Wh04m1001/GamingServiceEoP
 
Merci The-return pour l'info
 
 
Mardi 26 Mars 2024, 23:15 par tralala
Source : github.com/Wh04m1001/GamingServiceEoP
26 mars 2024, 23:19
Approuver ce commentaire (+1)
Un futur glitch pour la Xbox one
Répondre à ce commentaire
27 mars 2024, 11:16
Approuver ce commentaire (+1)
Curieux de savoir si cela impacte la 360 également
Répondre à ce commentaire
27 mars 2024, 11:54
Approuver ce commentaire (+1)
ça serais bien une grosse faille pour pouvoir utiliser batocera sur une xbox xbox one qui est dans sont carton depuis des années
Répondre à ce commentaire
27 mars 2024, 14:51
Approuver ce commentaire (+1)
COOL merci pour la news
Répondre à ce commentaire
27 mars 2024, 14:52
Approuver ce commentaire (+1)

ça serais bien une grosse faille pour pouvoir utiliser batocera sur une xbox xbox one qui est dans sont carton depuis des années


En soi on peut indirectement mettre des emulateur sur Xbox One / Xbox Séries grâce au devmode
Répondre à ce commentaire
Utilisateur en ligne
27 mars 2024, 15:11
Approuver ce commentaire (+1)
On attend la suite...........
Répondre à ce commentaire
27 mars 2024, 15:42
Approuver ce commentaire (+1)
C'était pas moi, mais une autre personne qui avait posté cela sur la shout. J'ai juste répondu. Mais merci pour la news tralala

En regardant son twitter, je ne savais pas qu'il existait un programme bounty aussi chez MS. Sauf que, chez Microsoft, ils ont bien du mal de payer, tout en signifiant, régulièrement, que ce n'est pas une faille majeure, pour ne pas payer. Ce qui a poussé ce dev à faire cela, et le divulguer ^^
Répondre à ce commentaire
27 mars 2024, 22:40
Approuver ce commentaire (+1)

Ce qui a poussé ce dev à faire cela, et le divulguer ^^


Donc si je comprend bien, tu dis que cette faille a été dévoilé et libérée ?
Si oui on pourrait s'attendre à quoi exactement ?
Répondre à ce commentaire
28 mars 2024, 14:13
Approuver ce commentaire (+1)

C'était pas moi, mais une autre personne qui avait posté cela sur la shout. J'ai juste répondu. Mais merci pour la news tralala

En regardant son twitter, je ne savais pas qu'il existait un programme bounty aussi chez MS. Sauf que, chez Microsoft, ils ont bien du mal de payer, tout en signifiant, régulièrement, que ce n'est pas une faille majeure, pour ne pas payer. Ce qui a poussé ce dev à faire cela, et le divulguer ^^



Oui enfin MS ils payent pas les failles mais on a pas de hack pour autant donc au final on s'interroge quand meme sur le nombre de failles exploitable jamais divulguées ou donner gratuitement a MS du coup
Répondre à ce commentaire
28 mars 2024, 19:31
Approuver ce commentaire (+1)
Si oui on pourrait s'attendre à quoi exactement ?[/quote]

A pas grand chose,comme beaucoup.
Mais faut pas ce faire d'idée,j'ai l'impression qu'il y'a plus grand monde qui travail sur les xbox.
Répondre à ce commentaire
28 mars 2024, 23:20
Approuver ce commentaire (+1)
[quote]Si oui on pourrait s'attendre à quoi exactement ?[/quote]

A pas grand chose,comme beaucoup.
Mais faut pas ce faire d'idée,j'ai l'impression qu'il y'a plus grand monde qui travail sur les xbox.[/quote]
parce qu'il nous laisse les outils à disposition pour pouvoir développer notre propre homebrew, émulateurs,.. Ce qui devrait proposer le hack de base mais sans avoir la possibilité de hacker leurs jeux
Répondre à ce commentaire
29 mars 2024, 00:30
Approuver ce commentaire (+1)
[quote][quote]Si oui on pourrait s'attendre à quoi exactement ?[/quote]A pas grand chose,comme beaucoup.Mais faut pas ce faire d'idée,j'ai l'impression qu'il y'a plus grand monde qui travail sur les xbox.[/quote]parce qu'il nous laisse les outils à disposition pour pouvoir développer notre propre homebrew, émulateurs,.. Ce qui devrait proposer le hack de base mais sans avoir la possibilité de hacker leurs jeux[/quote]

Tu sais,je pense que ta réponse n'est pas fausse.Mais elle n'est pas aussi bonne.Y'a énormément de développeurs, qui ont toujours l'envie de plus :) c'est comme dans tout,c'est comme partout .
Répondre à ce commentaire
29 mars 2024, 01:45
Approuver ce commentaire (+1)

Ce qui a poussé ce dev à faire cela, et le divulguer ^^


Donc si je comprend bien, tu dis que cette faille a été dévoilé et libérée ?
Si oui on pourrait s'attendre à quoi exactement ?


Comme cela, pas grand chose dans l'actuel. Mais quand même plusieurs devs ont repris, et testé la chose. Why not !

Et ne pas oublier que Specter fait des recherches sur le soc AMD qui est présent dans la ps5, et la xbox.

J'ai achété une series s 120€, avec carte mémoire 500, deux manettes. Si rien ne vient, sortie de l'été, je mettrai le gamepass dessus.
Répondre à ce commentaire
Cliquer ici pour continuer sur le forum
Envoyer