бойан но все же вброшу

Новая атака

Представьте следующую ситуацию: игрок, представляющийся членом известной гильдии, обещает продать вам какую-то классную вещь (которой у него скорее всего нет). Всё, что от вас требуется — ввести в чат одну строку:

Интерфейс WoW и его дополнения написаны на скриптовом языке Lua. Обе части вышеуказанного равенства являются рабочими функциями WoW Lua API. Исполнение этой строчки кода меняет поведение интерфейса.

Что делает эта команда?

• /run  — это команда воспринимать следующий текст как скрипт Lua;
• RemoveExtraSpaces — встроенная функция, удаляющая лишние пробелы;
• RunScript — функция, исполняющая код Lua code (аналогично /run)

Почему это опасно?

Функция RemoveExtraSpaces применяется к каждому полученному в чате сообщению. Вышеуказанная команда заменяет эту функцию на функцию RunScript, что называется перехватом. После этого все сообщения в чате воспринимаются как код Lua и исполняются.

Ни о чём не подозревающий игрок собирается ввести злополучную строчку

Мошенник отправляет жертве сообщение

Полученное сообщение было исполнено

Этим было доказано существование уязвимости. Таким образом, этот способ чем-то похож на использование троянов.

Подробнее об этой уязвимости читайте здесь.

Я вот только не пойму, чем эта ситуация опасна рядовым игрокам?

Если введешь себе эту команду, злоумышленник сможет через чат открывать трейд и автоматически принимать его и т.д. Только фантазия ограничивает потенциал мошенничества.

Спасибо за новость и подробный пост, но новость реально полугодовая. Если у вас так крадут голду, тикетом можно все вернуть. (уже были случаи, типо тебе скидывали вик ауру и потом у тебя пропадала голда)