Hvis du er ejeren af et af Assassins Creed-spillene, Might & Magic Heroes VI, Cities XL eller et andet af Ubisofts PC-spil, så udsætter du med stor sandsynlighed din PC for en alvorlig sikkerhedsfare. Det viser sig nemlig nu, at den PC-klient, Uplay, som Ubisoft kræver at man installerer på sin PC, indeholder en alvorlig fejl, der gør det muligt at afvikle programmer på computeren, uden for brugerens kontrol.
Tavis Ormandy, en tekniker fra Google har, efter at have installeret Assassin's Creed Revelations på sin PC opdaget, at den browser-plugin der følger med Uplay-klienten, kan bruges til at aktivere scripts og programmer uden for brugerens kontrol. Heldigvis for os, sårbare brugere, har han efter sin opdagelse valgt at poste sin opdagelse på seclist.org.
Vores britiske søstersite har efterprøvet Uplay-klienten, og bekræfter at sikkerhedshullet er der. Således kunne man åbne Windows lommeregner-program via IE10, FireFox, Opera og Chrome, uden om brugerens kontrol. Dermed er der også mulighed for at kunne afvikle andre programmer, der kan have langt mere ondsindede hensigter, end at lægge tal sammen.
Derimod er der ikke noget der understøtter rygterne om, at Uplay-klienten skulle indeholde et root-kit, der overtager vigtige systemværktøjer og skjuler sig selv på computeren. Dermed ligner det mest af alt en fejl eller forglemmelse fra Ubisofts side, og ikke et aktivt forsøg på at undergrave PC-spillernes sikkerhed. Men det gør ikke fejlen mindre alvorlig.
Hvis du selv har Uplay installeret, kan du beskytte din computer, ved at deaktivere Uplays browser plug-in:
Firefox: Tools - Add-ons - Plugins - Deaktivér Uplay and Uplay PC Hub plugins'ne
Opera: Settings - Preferences - Advanced - Downloads - Søg efter "Uplay", slet
Chrome: Gå til 'about: plugins' and deaktivér
Opdagelsen af sikkerhedshullet kommer kun kort tid efter, at hele Uplay var nede i adskillige dage under Steam-udsalget, og dermed gjorde adskillige Ubisoft-titler umulige at spille.
Ubisoft har endnu ikke kommenteret eller anerkendt problemets eksisens
UPDATE: Ubisoft har netop udgivet en patch til Uplay-klienten der skulle sikre, at Uplay-plugin'en til browserne kun kan anvendes til at afvikle Uplay-programmer, og ikke ondsindet kode eller scripts. Hvis du starter Uplay-klienten, skulle patchen blive hentet og installeret automatisk.
