2 февраля 2021 года студия CD Projekt Red предупредила пользователей, что сторонние сохранения и моды для Cyberpunk 2077 небезопасно использовать из-за уязвимости в игре. Злоумышленники могут получить контроль над системой игрока через внешние библиотеки dll с вредоносным кодом, которые игра задействует для своей работы, а в некоторых случаях даже требует их наличия. Уязвимость, позволяющая выполнять произвольный код из-за переполнения буфера, есть в текущих версиях игры для ПК и консоли PS4, она не устранена в патче 1.1 для Cyberpunk 2077.
Разработчики пообещали устранить проблему как можно скорее, но точную дату выпуска патча не раскрыли. CD Projekt Red посоветовала пользователям воздержаться от использования сторонних модов и чужих сохранений ради их безопасности.
В конце января этого года пользователь Reddit рассказал об обнаруженной им уязвимости в системе безопасности игры, связанной с использованием сторонних dll в некоторых модах, а также при открытии чужих файлов сохранений. По утверждению автора публикации, эта уязвимость могла быть использована для проникновения на официальные серверы CDPR.
Разработчик под ником yamashi выложил на GitHub попатченный от этой уязвимости набор библиотек Cyber Engine Tweaks, который фанаты игры используют для запуска различных скриптов и модов. Сторонний патч к игре доступен для версии на ПК, файлы Cyber Engine Tweaks 1.9.6 нужно скопировать в папку «Cyberpunk 2077\bin\x64». Разработчик уточнил, что после этого, в худшем случае, игра начнет вылетать, если пользователь активирует мод или запустит сохраненную игру с вредоносным кодом.
В конце декабря 2020 года разработчики Cyberpunk 2077 предупредили пользователей об ошибке с файлами сохранения. Оказалось, что если сохранение будет размером более 8 МБ, то при попытке загрузки игры оно повреждается и не может быть восстановлено. Эту проблему CD Projekt Red устранила в патче 1.06.
22 января CD Projekt Red выпустила глобальный патч 1.1, устраняющий большое количество ошибок в игре. Как оказалось, в этом патче были ошибки, которые ломали некоторые квесты. Разработчики через шесть дней выпустили хотфикс 1.11, которые исправлял проблемы после установки патча 1.1.
В конце января 2021 года CD Projekt Red открыла страницу с официальными инструментами для создания модификаций и изменений для Cyberpunk 2077.
Обновление публикации на 5 февраля: CD Projekt Red выпустила хотфикс 1.12. Этот патч устраняет уязвимость, которая может использоваться как часть удаленного выполнения кода (включая файлы сохранения). Фактически хотфикс исправляет проблему переполнения буфера, он удаляет/замененяет библиотеки DLL, отличные от ASLR.
MonkAlex
А что, обычно апи модов ограничено?
Я сколько писал, чаще всего доступ к системе просто есть и всё.
Почему эта новость настолько важна и что тут такого?
Regis
Если сравнивать с каким-нибудь Skyrim, то там из обычных модов произвольный код не выполнишь — можно манипулировать только игровыми объектами используя специальный скриптовой язык.
Тут важнее то, что "API модов" официально для Киберпанка ещё нет.
gudvinr
Это в официальном CreationKit, если SKSE использовать, то можно в принципе что угодно делать.
Вот для CP скорее всего что-то вроде SKSE и есть
Aldrog
Я моддингом сам почти не занимался, так что могу ошибаться, но вроде SKSE просто добавляет в интерпретатор скриптов ряд дополнительных функций для доступа к движку, а не позволяет что угодно в системе выполнять.
gudvinr
У SKSE есть т.н. Plugin API, используя который можно добавлять функционал через dll-ки, подгружаемые самим SKSE
Aldrog
Точно, про плагины забыл. Это, правда, немного другое, чем моды, их довольно мало и они кладутся в другую папку.
mishahan
И, по всей видимости, в обозримом будущем не будет