Suite à la découverte d’un exploit de sauvegarde de fichier, CD Projekt Red a dit aux joueurs de « faire preuve de prudence » lors du téléchargement de fichiers d’origine inconnue à utiliser dans Cyberpunk 2077.

Dans une déclaration à fr.techtribune.net, le CDPR a expliqué un peu la nature de la vulnérabilité:

« Un groupe de membres de la communauté nous a contactés pour signaler un problème avec les fichiers DLL externes utilisés par le jeu. Ce problème peut être potentiellement utilisé dans le cadre d’une exécution de code à distance sur des PC. Nous apprécions leur contribution et travaillons à la résolution de ce problème. Dans l’intervalle, nous conseillons à tout le monde de ne pas utiliser de fichiers provenant de sources inconnues. Quiconque envisage d’utiliser des mods ou des sauvegardes personnalisées pour Cyberpunk 2077 doit faire preuve de prudence jusqu’à ce que nous publions le correctif susmentionné. « 

Selon PixelRick, membre de la communauté de modding, à qui on attribue la découverte du problème, la vulnérabilité du fichier de sauvegarde n’est « pas difficile à trouver car c’est une question de chance, mais elle [is] difficile à exploiter « , le décrivant comme une » vulnérabilité du jeu et non une vulnérabilité de la nature humaine « . PixelRick a fourni une explication approfondie, mais voici une tentative de présentation simplifiée: lorsque Cyberpunk 2077 lit un fichier de sauvegarde, il peut créer un fichier buffer overflow. Ce buffer overflow peut être utilisé pour rediriger le thread en cours d’exécution vers une ancienne DLL, à une adresse connue fixe qui n’a pas de protection moderne. Essentiellement, la vulnérabilité rend un fichier non exécutable exécutable, ce qui pourrait exécuter « tout virus exécuté localement « . En plus de cela, » le fichier de sauvegarde conçu peut être silencieux, après avoir fermé la fenêtre contextuelle que j’ouvre, les données réelles du fichier de sauvegarde sont chargées par le jeu sans erreur « , a ajouté PixelRick.

«C’est le système de confiance qui est miné puisque vous devriez pouvoir faire confiance aux mods de fichiers de données pour être inoffensifs, et être sceptique uniquement sur les exécutables en général. A dit PixelRick. « Cette vulnérabilité rend impossible de vraiment faire confiance à un fichier de données modifié pour ce jeu jusqu’à ce que [the] pièce. »

Après avoir trouvé l’exploit, PixelRick a signalé la vulnérabilité à l’administrateur du Cyberpunk 2077 modding Discord, et les informations ont été transmises au CDPR. Un correctif temporaire a été créé pour Tweaks du Cyber ​​Engine, un outil de modification populaire pour Cyberpunk 2077, pour aider les utilisateurs jusqu’à ce que CDPR puisse publier un correctif officiel. Bien que jusqu’à présent, il semble que cet exploit n’ait pas été repéré « dans la nature » sur des sites comme Nexus Mods, il est probablement préférable d’éviter de télécharger des fichiers de sauvegarde jusqu’à ce que ce correctif officiel soit déployé.