На конференции NoSuchCon в Париже двое исследователей, организовавших компанию ReVuln, рассказали о многочисленных ошибках, найденных ими в работе популярных игровых движков CryEngine 3, Unreal Engine 3, Hydrogen Engine и id Tech 4. На этих движках работают игры Quake 4,Crysis 2, Homefront, Brink, Monday Night Combat, Enemy Territory: Quake Wars, Sanctum, Breach, Nexuiz и многие другие. Обнаруженные ошибки приводят к переполнениям буфера и порче содержимого памяти, что, в свою очередь, можно использовать для запуска программного кода или вывода из строя серверных и клиентских программ. Многие ошибки найдены в коде, обрабатывающем данные, получаемые по сети, что дает возможность дистанционного взлома систем — как игрового сервера, так и клиентских машин.
Авторы не сообщали разработчикам игр о найденных ошибках, и поэтому все они пока не исправлены. ReVuln занимается продажей информации об уязвимостях.
Игровые серверы часто становятся мишенью для атак в ходе столкновений между кланами игроков, мошенников, которые пытаются получить преимущества в игре, или конкурирующих игровых компаний. Но разработчики игр, отмечают исследователи, обычно больше внимания уделяют борьбе с мошенниками, а не улучшению безопасности.