Nach Berichten in namhaften Online-Medien wie The Verge gibt es unter Windows eine schwere Sicherheitslücke in Bandai Namcos Spiel DARK SOULS 3, aber offenbar auch in DARK SOULS 1, 2 und Remaster sowie das von Fans händeringend erwartete, demnächst erscheinende ELDEN RING (das auf derselben Game Engine basiert), die es Angreifern via Remote Code Execution ermöglicht auf den Computern des Spielenden beliebige Software auszuführen.
Aufgefallen war das während einer Livestream-Session von The__Grim__Sleeper, an deren Ende das Spiel abstürzte und eine Stimme unter Nutzung von Microsofts Text-Zu-Sprache-Funktionen die Spielweise des Streamers kritisierte, danach öffnete sich die Microsoft power Shell.
Dem Vernehmen nach sei das allerdings kein bösartiger Hack gewesen, der Hacker hatte die Sicherheitslücke bemerkt und dann offenbar vergeblich versucht, Bandai Namco und den Spieleentwicler From Software zu informieren, dort war er vollständig ignoriert worden. Angeblich ist nur wenigen Personen bekannt, wie der Sicherheitslücke genutzt werden kann, ich halte das für eine fragwürdige Aussage, denn jetzt wo die Katze aus dem Sack ist, werden sich sicherlich haufenweise zwielichtige Gestalten darauf stürzen.
Das Problem tritt nur auf, wenn man online spielt, Bandai Namco hat inzwischen nach der ultraschlechten PR die PvP-Server abgeschaltet, laut einem offiziellen Beitrag auf Reddit arbeiten die Entwickler an einer Lösung, halten sich allerdings zu Details überaus bedeckt.
PvP servers for Dark Souls 3, Dark Souls 2, and Dark Souls: Remastered have been temporarily deactivated to allow the team to investigate recent reports of an issue with online services.
Servers for Dark Souls: PtDE will join them shortly.We apologize for this inconvenience.
— Dark Souls (@DarkSoulsGame) January 23, 2022
Die Community des Spiels hat ein bereits existierendes Anti-Cheat-Mod namens Blue Sentinel überarbeitet und eine neue Version released, die angeblich gegen die Lücke helfen soll.
Bis auf weiteres soll man die Games von From Software nur offline spielen, Konsolenspieler auf XBox und Playstation sind den Meldungen zufolge nicht betroffen, für die sind auch die Server weiterhin online.
Mittels Remote Code Execution (auch: Arbitrary Code Execution) können Angreifer einen PC vollständig übernehmen und dort beliebige Programme ferngesteuert ausführen.
Der Fall zeigt erneut das Problem, dass namhafte Firmen, nicht nur aus der Spielebranche, Hinweise auf Sicherheitslücken vollständig ignorieren, was dann nicht nur zu einem PR-Desaster, sondern auch zu erheblichen Gefahren für die Softwarenutzer führt. Meiner Ansicht nach sind die existierenden Gesetze für solche Fälle nach wie vor viel zu lax, auch wenn sich die Situation der Nutzer in Deutschland bei Software (und damit auch Spielen) aufgrund der seit dem 01. Januar 2022 geänderten Gewährleistungsgesetzgebung minimal verbessert hat.
Promografik DARK SOULS 3 Copyright Bandai Namco