Una vulnerabilidad de seguridad conocida como ENLBufferPwn (CVE-2022-47949) que afecta a la librería de red de títulos first party (de Nintendo) en 3DS, Wii U y Switch ha sido presentada al público general. La misma fue reportada por primera vez alrededor de Agosto de 2021 donde se observaron afectaciones con Mario Kart 7 de Nintendo 3DS.
La misma, califacada como 9.8/10 (Critica) en el calculador CVSS 3.1, está dirigida al código de red común que utilizan muchos de los títulos first party de Nintendo desde el Nintendo 3DS en la que permite al atacante ejecutar un código de manera remota en la consola de la víctima solamente con estar jugando dentro de la misma partida, y de realizarse correctamente, la víctima no podría darse cuenta. Entre las consecuencias de esto incluye modificaciones simples a la memoria del juego (tales como salir y entrar del menú), o en los casos mas graves, tomar total control del sistema, tomar grabaciones de video/audio o la extración de información sensible.
Debido a que esto ha sido ya reportado a Nintendo, se ha llevado a cabo las respectivas reparaciones para enfrentar esta vulnerabilidad por medio de actualizaciones a lo largo de este 2022, por lo que se recomienda actualizar estas piezas de software a la más reciente versión, entre los que se encuentran:
- Mario Kart 7 – Ver. 1.2
- Mario Kart 8 Deluxe – Ver. 2.1.0
- Animal Crossing: New Horizons – Ver. 2.0.6
- ARMS – Ver. 5.4.1
- Splatoon 2 – Ver. 5.5.1
- Splatoon 3 – Se desconoce con exactitud, pero fue resuelto a fines de 2022
- Super Mario Maker 2 – Ver. 3.0.2
- Nintendo Switch Sports – Se desconoce con exactitud, pero también fue resuelto a fines de 2022
Por supuesto, hay algunos títulos que no se han logrado tratar hasta el momento, como Mario Kart 8 o Splatoon para Wii U, pero en los previamente mencionados han sido logrados tratar.
Si deseas conocer con detalles mas técnicos, se recomienda echar un vistazo al depósito de GitHub (disponible en Inglés) que trata el caso por quienes reportaron con seguridad esta vulnerabilidad a Nintendo (PabloMK7, Rambo6Glaz y Fishguy6564).
