• Mitspieler gesucht? Du willst dich locker mit der Community austauschen? Schau gerne auf unserem ComputerBase Discord vorbei!

Notiz Cyberpunk 2077: CD Projekt stoppt Fremdzugriffe mit Hotfix 1.12

SV3N

Redakteur
Teammitglied
Dabei seit
Juni 2007
Beiträge
16.118

Cool Master

Fleet Admiral
Dabei seit
Dez. 2005
Beiträge
31.703
Ich habe es nach 203h mit allen Lebenspfaden inkl. 100% Erfolge durch und kann mich entspannt zurück legen bis die DLCs kommen :)
 

Nulight

Lieutenant
Dabei seit
Mai 2010
Beiträge
549
Ich räume die ganzen Ganoven Nester und spiele passend die Story , habe jetzt 50 Stunden.
Warte jetzt aber auf meine neue GPU :)
 

FeelsGoodManJPG

Lieutenant
Dabei seit
Juni 2008
Beiträge
1.006
Ich warte auf den Patch mit RT für AMD.
 

mcdexter

Lt. Junior Grade
Dabei seit
Apr. 2017
Beiträge
343
Ich warte mit dem weiter Spielen auf denn Hotfix für denn Hotfix des Hotfixes.

Nee spaß. Bin immer noch am spielen. Habe nur momentan nicht so viel Zeit um Std lang zu spielen. Leider.
Was ich bis jetzt aber gesehen habe war nicht so negativ wie einige behaupten.
 

ThePlayer

Lieutenant
Dabei seit
Aug. 2011
Beiträge
932
@FeelsGoodManJPG
Genau das wollte ich auch schreiben.
Ich habe zwar schon 40 Stunden gespielt und etwas mehr als 50% der Story hinter mir.
Aber jetzt warte ich auf den RT Patch für AMD. Und hoffe der erscheint in den nächsten 1-3 Monaten.
Ansonsten vertreibe ich mir die Zeit mit Horizon Zero Dawn.
Das macht auch unheimlich viel Spaß und die Story ist auch sehr interessant.
 

Caspian DeConwy

Lieutenant
Dabei seit
Aug. 2019
Beiträge
564

Apple ][

Lt. Commander
Dabei seit
Dez. 2008
Beiträge
1.234
Bei mir wird der Hotfix via GoG Launcher nicht angeboten
 

AndrewPoison

Admiral
Dabei seit
Jan. 2005
Beiträge
8.346
Versionsnummern FTW.

1.05 < 1.06 < 1.1 < 1.12 < 1.2

Einfach einen zweiten Punkt einzuführen, wenn man die Zahlen auch so nutzt, wäre ja zu viel verlangt :D

1.0.5 < 1.0.6 < 1.1.0 < 1.1.2 < 1.2.0 sieht nachvollziehbarer aus. Aber gut. Was mecker ich eigentlich. AMDs Agesa startet mit jeder Prozessorgeneration ja auch wieder bei 1 und trägt die dämlichsten Kürzel und Erweiterungen. So lange am Ende alles läuft, kann es Otto ja auch egal sein. Aber ich mecker einfach gerne ;)
 

Cool Master

Fleet Admiral
Dabei seit
Dez. 2005
Beiträge
31.703
Wow, bin bei knapp 60 Stunden, aber irgendwie ist gefühlt nichts mehr los. Warte auf die DLCs

Wie gesagt ich hab alle 3 Lebenspfade gespielt, alle Seiten Missionen gemacht und alle Erfolge. Dazu kommt, dass ich alles gelesen habe was ich finden konnte.
Ergänzung ()


Tut es auch jetzt schon. Hatte nicht mehr oder weniger Bugs als andere Tripple A Spiele zu beginn.
 

Marco01_809

Lt. Commander
Dabei seit
Mai 2011
Beiträge
1.581
Und was ist der Angriffsvektor für diese Schwachstelle? Hat ja keinen Multiplayer-Mode ...

Nur Savegames? Das ist mMn nicht ganz so kritisch und ich würde davon ausgehen, dass sehr viele Spiele Sicherheitslücken beim Einlesen von Savegames haben.

Im englischen chagelog steht
This update addresses the vulnerability that could be used as part of remote code execution
Aber in welchem Schritt kommuniziert das Game denn überhaupt über das Internet?
 

Marco01_809

Lt. Commander
Dabei seit
Mai 2011
Beiträge
1.581
@Yuuri Wird auch daraus leider nicht klar was das nun zu einer Sicherheitslücke macht..
CD Projekt warnt davor, Mods aus unbekannten Quellen für "Cyberpunk 2077" zu installieren. In einem Twitter-Post schreiben die Entwickler, vom Spiel genutzte externe DLL-Dateien hätten derzeit eine Schwachstelle. Diese könne ausgenutzt werden, um Code auszuführen.

"Wenn man ausführbare DLL-Dateien durch gemoddete Dateien austauscht könnten diese verwendet werden um Code auszuführen" ja ach ne :freak:
 

0x8100

Commander
Dabei seit
Okt. 2015
Beiträge
3.007
Versionsnummern FTW.

1.05 < 1.06 < 1.1 < 1.12 < 1.2

Einfach einen zweiten Punkt einzuführen, wenn man die Zahlen auch so nutzt, wäre ja zu viel verlangt :D

k.a. was du hast:
Code:
$ python -c "print(1.05 < 1.06 < 1.1 < 1.12 < 1.2)"
True
passt alles.
Ergänzung ()

"Wenn man ausführbare DLL-Dateien durch gemoddete Dateien austauscht könnten diese verwendet werden um Code auszuführen" ja ach ne :freak:
es muss nicht der austausch von spieldateien sein. wenn nicht explizit angegeben, sucht eine anwendung DLLs in einer bestimmten reihenfolge, beginnend mit dem verzeichnis der anwendung. wenn cyberpunk nun "directx.dll" laden will und jemand eine gemoddete "directx.dll" mit schadcode in das verzeichnis packt, dann wird diese ausgeführt anstatt des originals. siehe auch hier.
 
Zuletzt bearbeitet:

Yuuri

Fleet Admiral
Dabei seit
Okt. 2010
Beiträge
13.364
Wird auch daraus leider nicht klar was das nun zu einer Sicherheitslücke macht..
Das ist halt Basiswissen beim Einschleusen von Code. Da solltest du dir dann eher Material dazu ansehen. Wenn man das Thema behandeln würde, würde es jeglichen Umfang sprengen.

Einfachstes Beispiel:
  • das Spiel lädt die input.dll
  • du lieferst in deinem Mod eine eigene input.dll mit
  • das Spiel nutzt nun deine input.dll
  • dein Code wird zuerst ausgeführt, bevor du sie an die eigentliche input.dll zur Verarbeitung schickst (damit es nicht auffällt)
In dem Code kann man dann natürlich alles anstellen. Da brauch das Spiel keinen Multiplayer, damit du Daten an bösedomain.de schicken kannst. Du besitzt dann sämtliche Rechte, die der ausführende User auf dem PC hat und was dieser machen darf, darf auch dein Code machen. Du kannst also nach Lust und Laune den gesamten Inhalt aller Festplatten auslesen und hochladen, den RAM nach Passwörtern durchsuchen usw. Wenn du in deinem Code dann nach weiterer exploitbarer Software suchst, kannst du natürlich noch mehr infizieren, vor allem wenn du irgendwo eine Privilege Escalation hervorrufen kannst, womit das System quasi komplett nackt wäre. Deine DLL muss dabei auch nicht groß sein, du kannst ja schließlich auch irgendwo weiteren Code nachladen.

Poor Man's Code Execution:


Am Beispiel von Pokemon blau:


Ocarina of Time hat bspw. auch Code Execution parat (das Video ist allgemein gut, weil es auch etwas den Hintergrund beleuchtet):


Beispielhaft kann man sich alle möglichen Speedruns mit Exploits ansehen, weil sich diese immer irgendwelcher Lücken bedienen, damit der Speicher manipuliert wird.
Versionen sind überlicherweise keine ints, weshalb alle so verdutzt sind. Oder willst du mir sagen, dass Linux 5.10.13 nicht neuer als 5.2.20 ist? Das ist halt das übliche Semver Schema.
 

Marco01_809

Lt. Commander
Dabei seit
Mai 2011
Beiträge
1.581
Das ist halt Basiswissen beim Einschleusen von Code. Da solltest du dir dann eher Material dazu ansehen. Wenn man das Thema behandeln würde, würde es jeglichen Umfang sprengen.
:rolleyes: Das ist mir auch alles klar und ich kenne auch die Savegame-Exploits über die man die Wii gehackt hat. Habe ich auch selber gemacht damals.

Die Sache mit den DLLs ist einfach keine Sicherheitslücke.
  • dein Code wird zuerst ausgeführt, bevor du sie an die eigentliche input.dll zur Verarbeitung schickst (damit es nicht auffällt)
Genau das ist ja der Sinn von Mods. Man WILL dass das Spiel modifizierten Code ausführt. Wenn das Spiel keine Mod-Schnittstellen mitbringt dann kann man ja auch sonst nichts machen außer vielleicht Texturmods. dinput.dll ist auch ein gutes Beispiel, darüber werden viele Spiele gemoddet die keine APIs mitbringen.

Klar kann man den Standpunkt vertreten alle Mods wären gefährlich und wir sollten Mods verbieten. Soll man sich halt endlos DRM draufklatschen bis der Nutzer gar keine Rechte mehr hat und nichts tun kann außer zu konsumieren.

Mods können Malware enthalten. Non-Nachricht des Tages. Sehe nicht wo hier etwas nicht so funktioniert wie es soll.

Und "Remote Code Execution" ist es schon dreimal nicht wenn man sich einen Mod eigenständig lokal installieren muss.
 
Top