Nos últimos meses, a Nintendo disponibilizou atualizações para alguns de seus jogos mais antigos de Nintendo Switch e Nintendo 3DS, como Mario Kart 7 (3DS), ARMS (Switch), Splatoon 2 (Switch), Super Mario Maker 2 (Switch) e Aminal Crossing: New Horizons (Switch). Embora a empresa não tenha revelado oficialmente o propósito desses updates, dataminers acreditaram que os patches corrigiam brechas de segurança encontradas em código compartilhado pelos jogos.
No último dia 24 de dezembro, foi revelado o motivo desses patches. De acordo com os desenvolvedores PabloMK7, Rambo6Glaz e Fishguy6564, esses e outros títulos da Nintendo possuíam uma vulnerabilidade em seu código de rede que permitia que usuários maliciosos executassem códigos não autorizados em consoles de outras pessoas de maneira remota.
Chamada ENLBufferPwn, essa vulnerabilidade é considerada crítica, atingindo pontuação de 9.8/10 na escala da calculadora CVSS 3.1, um sistema de medição de gravidade de problemas de segurança em sistemas.
De acordo com o relato publicado pelos desenvolvedores, por meio de um buffer overflow, usuários conseguem executar comandos nos consoles de outras pessoas ao se conectarem com elas em sessões de multiplayer online. O ataque pode realizar modificações simples na memória do jogo – como abrir e fechar o Menu HOME do 3DS repetidamente – ou até mesmo controlar em definitivo a plataforma de outros jogadores.
O exploit foi descoberto em 2021 e relatado à Nintendo por PabloMK7, Rambo6Glaz e Fishguy6564 em 2021/2022. Os seguintes jogos foram afetados:
- Mario Kart 7 (3DS) – corrigida na versão 1.2
- Mario Kart 8 (Wii U) – ainda sem relato de correção
- Mario Kart 8 Deluxe (Switch) – corrigida na versão 2.1.0
- Animal Crossing: New Horizons (Switch) – corrigida na versão 2.0.6
- ARMS (Switch) – corrigida na versão 5.4.1
- Splatoon (Wii U) – ainda sem relato de correção
- Splatoon 2 (Switch) – corrigida na versão 5.5.1
- Splatoon 3 (Switch) – corrigida no final de 2022, número de versão desconhecida
- Super Mario Maker 2 (Switch) – corrigida na versão 3.0.2
- Nintendo Switch Sports (Switch) – corrigida no final de 2022, número de versão desconhecida
Os desenvolvedores indicam que pode haver mais jogos da Big N com a vulnerabilidade presente.
