[3DS/WiiU/Switch] Le rapport sur la vulnérabilité dévoilé 7 ans après son signalement

Wii / Wii U

Sept années après son signalement, le rapport sur un bug remonté en 2018 vient d'être dévoilé, ce bug portait sur les Nintendo 3DS, Wii U et Switch.

Le chercheur en sécurité, Kinnay, avait envoyer au bug bounty program HackerOne, un rapport portant le numéro 469997 et qui fournissait une vulnérabilité au coeur du matchmaking sur les serveurs de Nintendo.

Ce bug, aujourd'hui résolu, a suscité un certain intérêt à l'époque, s'appuyant sur une fonction nommée UnicodeToUtf8 qui convertissait les adresses IP au format spécifique UTF-8 pendant le processus de mise en correspondance.

Le bug en question présent dans la gestion des entrées IP provoquait une corruption de mémoire, et ainsi ouvrait la voie à des exploits potentiels.

Sur 3DS et Switch, le plantage lié au bug permettait d'obtenir l'exécution RCE en contournant les protections ASLR, tandis que sur Wii U, l'exécution du code aurait été directe du fait du manque d'ASLR, il aurait été facile de mettre en oeuvre une chaîne ROP.

Si l'histoire vous intéresse, le rapport se trouve ici : hackerone

Samedi 28 Juin 2025, 07:54 par tralala

Source : hackerone.com/reports/469997

overload

28 juin 2025, 08:50

Heureusement que ce genre d'annonce ne concerne pas la scène PS les réaction aurait était différente , ça va la scène Nintendo est plus "cool"
Merci pour la news

shadow256

28 juin 2025, 08:55

Et ici heureusement que le bug n'a pas été dévoilé avant sa résolution, ça aurait pu être une grosse catastrophe pour le online de Nintendo et les données des utilisateurs, le hack oui mais pas à n'importe quel prix et celui-ci là aurait pu être très élevé.

Batman23

28 juin 2025, 12:46

Salut

Effectivement les ip des utilisateurs et donc nom/adresse aurais fuité.

Enfin Nintendo a comblé la brèche.

Cliquer ici pour continuer sur le forum