Das Mittelalter-Strategiespiel “KingsAge” wird vom Betreiber Gameforge den Spielern zur Verfügung gestellt. Es werden für jede vorhandene Sprache mehrere sog. unabhängig voneinander laufende Welten angeboten, auf denen man sein Königreich erschaffen soll. Dabei gibt es die Möglichkeit Allianzen zu gründen und gemeinsam gegen andere Spieler vorzugehen. Auf jeder Welt spielen ungefähr 1000 bis 25000 Spieler.
Wir fanden in dem genannten Browsergame eine Cross Site Scripting Lücke im Nachrichtensystem.
Die Lücke wurde bereits in der letzten Version (Update auf 2.2.3) am 19.06.2012 geschlossen.
Das Nachrichtensystem ermöglicht die Kommunikation zwischen zwei Spielern, sowie die Weiterleitung und den Export der Nachrichten.
Die Exportfunktion wandelte eine Nachricht in einen BB-Code um, damit man diesen z.B. im spielinternen Forum posten konnte. Jedoch wurde die Ausgabe des generierten BB-Codes nicht ordentlich gefiltert, sodass der Angreifer über eine manipulierte Nachricht mit der Aufforderung des Exportierens, um z.B. an die Premiumwährung zu gelangen, schädlichen Javascript-Code im Benutzerkontext ausführen konnte.
Das Aussehen und das Verhalten der Seite wäre vom Angreifer veränderbar. Dieser könnte zudem über Ajax-Requests Aktionen im Hintergrund ausführen, ohne das das Opfer davon etwas mit bekäme.
Nachdem wir eine Email an den Datenschutzbeauftragten von Gameforge schickten, und uns eine automatisch generierte Email darüber informierte, dass man das Postfach jeden Freitag öffne - wir verschickten die Nachricht am Sonntag - waren wir doch sehr darüber überrascht, dass uns am Montag Herr Gräber antwortete, er gäbe die Nachricht an die entsprechende Abteilung weiter.
Nachdem ein Monat und eine Woche ohne Reaktion verging, versuchten wir telefonisch Kontakt mit dem Unternehmen aufzunehmen, doch wir fanden nur eine Service-Hotline, welche sich als Anrufsbeantworter herausstellte, bei dem wir unser Anliegen vorbringen durften.
Bereits vier Tage später erhielten wir eine Antwort der Projekt Managerin Frau Berger, in der Sie uns mitteilte, man werde das Problem mit der nächsten Version von KingsAge beheben. Wann ein Update anstünde ließ die Dame offen. Trotzdem bedankte man sich freundlich bei uns.
Knapp einen halben Monat später wurde die genannte, neue Version des Browsergames veröffentlicht und die Sicherheitslücke geschlossen.
Wir danken der Gameforge Productions GmbH für den kooperativen Umgang würden uns in Zukunft jedoch eine noch schnellere Reaktion und vor allem Schließung der Lücken wünschen. Es ist schade, dass man sicherheitsrelevante Updates auf nächste Versionen verschiebt, und die Bearbeitung dieses Problems um die 2 Monate dauerte.
Das Internetwache Team
Screenhosts
