Primärer ARM9-Kernel-Exploit für die Firmware 11.4 is 11.17 für alle Systeme der Nintendo-3DS-Familie. Benötigt einen PC!
Das ging schnell! Zoogie hat den neuen ARM9-Kernel-Exploit "MSET9" für den Old3DS auch auf dem New3DS lauffähig gemacht! Als netter Bonus werden nun auch zusätzlich die Firmware 11.4 bis 11.7 unterstützt.
Die Anleitung bleibt fast die gleiche; es muss lediglich im Python-Skript der Wert einer Variable geändert werden. Näheres auf unserer Download-Seite.
ARM9-Kernel-Exploit und eine einfachere Alternative zu unSAFE_MODE.
Luigoalma hat nimdsphaxveröffentlicht. Dabei handelt es sich um einen ARM9-Kernel-Exploit, der als Alternative zu unSAFE_MODE angesehen werden kann.
Dies ermöglicht nach wie vor nicht die Installation von boot9strap auf einem Old3DS auf der aktuellen Firmware ohne zusätzliche Hardware!
Unterstützt werden alle 3DS-Modelle mit den Firmware-Versionen 11.8 bis zur aktuellen (11.17 derzeit). Wer in den Homebrew Launcher booten kann, kann also nimdsphax ausführen und spart sich damit den ganzen Umweg mit der Installation des gehackten Wi-Fi-Slots wie es bei unSAFE_MODE nötig wäre. Auf dem New3DS verkürzt dies die Installation von boot9strap deutlich, da nur noch super-skaterhax ausgeführt werden muss. Auf dem Old3DS ergibt sich hier leider kaum eine Zeitersparnis.
Ob es in Zukunft auch wieder eine einfache Möglichkeit geben wird, boot9strap auf dem Old3DS zu installieren, bleibt abzuwarten. Mit dem New3DS empfehlen wir jetzt ein System-Update auf 11.17 und dann super-skaterhax mit nimdsphax.
Unterstützt werden die Firmware-Versionen 11.15 und 11.16 und natürlich nur der New3DS. Mittels unSAFE_MODE kann damit eine Custom Firmware installiert werden ohne seedminer benutzen zu müssen – nicht, dass es irgendeinen Unterschied machen würde. Sicherlich wird Nintendo auch diesen Exploit wieder schnell patchen.
PabloMK7 hat einen Fehler in zahlreichen First-Party 3DS-, Wii-U- und Switch-Spielenöffentlich gemacht, der es einem Angreifer ermöglicht, unsignierten Code auszuführen, selbst wenn die Konsole des Opfers nicht gemoddet ist. Nintendo hat den Fehler bereits in einigen Spielen behoben.
UPDATE, 26.12.22, 00:15 Uhr: Ein Aroma-Plugin wurde veröffentlicht, welches den Bug in Mario Kart 8 und Splatoon behebt.
Die Schwachstelle, die "ENLBufferPwn" getauft wurde, wurde bereits von mehreren Personen im Jahr 2021 entdeckt und nach und nach an Nintendo gemeldet. Laut dem CVSS 3.1 Calculator handelt es sich dabei um eine Lücke mit einer Schwere von 9,8 von 10 Punkten.
Welche Spiele sind/waren betroffen?
Mario Kart 7 (behoben in v1.2, kürzlich erschienen)
Splatoon 3 (behoben Ende 2022, genaue Version unbekannt)
Super Mario Maker 2 (behoben in v3.0.2)
Nintendo Switch Sports (behoben Ende 2022, genaue Version unbekannt)
eventuell noch mehr
Was genau ist das Problem?
Konkret handelt es sich bei ENLBufferPwn um einen Buffer-Overflow in der C++-Klasse "NetworkBuffer", die von einigen First-Party-Spielen verwendet wird. Diese Klasse enthält zwei Methoden "Add" und "Set", die den Buffer mit Daten von anderen Spielern befüllen. Allerdings wird dabei nicht geprüft, ob diese Daten überhaupt in den Buffer passen, was zu einem Buffer-Overflow führt und ausgenutzt werden kann. Eine genauere technische Erklärung finden Interessierte in der GitHub-Repo.
Welche Auswirkungen hat das?
Ein Angreifer kann sämtlichen Code auf fremden Geräten ausführen. In einem Video sieht man, wie in einer alten Version von Mario Kart 7 das HOME-Menü ohne Zutun des Nutzers geöffnet wird und in einem Proof-of-Concept-Video ist zu sehen, wie der SafeB9SInstaller auf einer ungemoddeten Konsole ausgeführt wird. Ein anderes Proof-of-Concept zeigt unsignierten Code auf der Wii U über den Online-Modus von Mario Kart 8.
Man kann nur hoffen, dass Nintendo den Fehler auch in den Wii-U-Spielen behebt.
Nutzt ein Versäumnis beim Parsen der USB-Deskriptoren aus, um Code kurz nach dem Start der Konsole auszuführen. In Verbindung mit dem Wii U Recovery Menu ideal zum Unbricking von bspw. Coldboot-Haxchi-Bricks!
Die Wii U schaltet sich nun ab, wenn das Recovery-Menu nicht auf der SD-Karte gefunden wird. Auch werden der Full-Speed- und High-Speed-Modus unterstützt, damit mehr Linux-Systeme funktionieren.
Changelog UDPIH
* The console now powers off if the recovery_menu cannot be loaded from the SD Card.
* The gadget now supports both full speed and high speed mode, to support more linux systems.
Der Nintendo Switch Payload funktioniert jetzt auch auf Mariko-Geräten per Modchip und hekates Minerva wird nicht mehr auf der SD-Karte benötigt. Auch wird die Option "Reboot (RCM)" auf gepatchten Konsolen deaktiviert; genau wie die Option "Reboot to hekate", wenn hekate nicht gefunden wird.
Changelog UDPIH Nintendo Switch Payload
* The payload now properly supports and uses xusb on all consoles.
** This means mariko units should be supported now.
** The payload no longer needs minerva, which was requiring the minerva hekate module on the SD Card.
** The "Reboot (RCM)" options is now disabled on patched consoles and "Reboot to hekate" is disabled if hekate cannot be found.
* Udpih was updated to Release 2.
GaryOderNichts hat für den gestern erschienenen Wii-U-Exploit "UDPIH" einen Switch-Payloadveröffentlicht. Somit wird nur eine ungepatchte Switch benötigt, um eine Wii U zu entbricken!
Die Nutzung ist denkbar einfach – den Payload über Fusée Gelée injizieren, "Run UDPIH gadget" mit "POWER" auswählen, Recovery Menu im Root der SD-Karte der Wii U ablegen, Wii U starten und beim "Wii U" Logo die Switch in einen der vorderen USB-Ports anstecken. Ein Video findet ihr auch auf YouTube.
GaryOderNichts hat einen neuen Exploit für die Wii U veröffentlicht, der ein Versäumnis im USB-Host-Stack der Konsole ausnutzt, um Code sehr früh beim Boot auszuführen – damit lassen sich in Verbindung mit dem ebenfalls veröffentlichten Recovery Menu u.a. Coldboot-Haxchi-Bricks fixen!
Nutzt ein Versäumnis beim Parsen der USB-Deskriptoren aus, um Code kurz nach dem Start der Konsole auszuführen. In Verbindung mit dem Wii U Recovery Menu ideal zum Unbricking von bspw. Coldboot-Haxchi-Bricks!
Mit dem Wii U Recovery Menu lassen sich u.a. Bricks reparieren, die durch den unsachgemäßen Umgang mit Coldboot Haxchi entstanden sind. Muss über UDPIH gebootet werden!
Konkret handelt es sich dabei um ein Versäumnis beim Parsen der USB-Deskriptoren. Mit diesen Deskriptoren stellen USB-Geräte verschiedene Informationen über sich selbst bereit – bspw. die USB-Version, die Hersteller- und Produkt-ID, usw. Zuerst werden beim Start die Geräte-Deskriptoren vom USB-Host-Stack gelesen; anschließend folgen die Konfigurations-Deskriptoren. Diese Deskriptoren haben keine feste Größe, sondern lege diese selbst in einem vorgegebenen Feld fest. Zudem müssen einige Felder zusätzlich byte-geswapped werden, da diese nur in Little Endian vorliegen, aber in Big Endian benötigt werden.
Nintendo hat es versäumt, zu prüfen, ob die angegebene Größe der tatsächlichen Größe entspricht, was einen "out-of-bounds" Byteswap ermöglicht. Der Blogbeitrag von GaryOderNichts geht tiefer ins Detail.
Um den Bug auszunutzen, muss man also ein Gerät besitzen, welches USB-Geräte und somit beliebige USB-Deskriptoren emulieren kann. Die populärsten sind zweifelsohne der Raspberry Pi Pico und der Raspberry Pi Zero, die beide sehr günstig zu haben sind. Eine genaue Anleitung stellt GaryOderNichts auf GitHub zur Verfügung – kurz gesagt muss der Pi Pico geflashed und beim Pi Zero ein Kernel-Modul integriert werden. Anschließend muss das Recovery Menu auf die SD-Karte der Wii U platziert und beim Start der Konsole (beim "Wii U" Logo) der Pi eingesteckt werden.
Im Recovery Menu lässt sich u.a. der Coldboot-Titel wieder auf das Wii-U-Menü zurücksetzen, OTP + SEEPROM dumpen, die PIN des GamePads anzeigen uvm.
Das dürfte wieder Leben in etliche Wii Us einhauchen, die durch den unsachgemäßen Umgang mit Coldboot Haxchi gebrickt wurden!
Kernel-Exploit-Payload für die Firmware 1.0 bis 11.15 für die einfache Installation von boot9strap.
Die Versionen 9.3, 9.4 und 9.5 werden jetzt auch unterstützt, sie haben vorher versehentlich gefehlt. Auch werden mehr Farben angezeigt, falls ein Problem auftritt.
* Add support for system version 9.3, 9.4, 9.5 (previously missing by accident)
* Even more LCD fill colors for troubleshooting (orange/magenta/pink)
* Mini_b9s_installer has been removed and now usm launches SafeB9Sinstaller instead.
* Updated universal-otherapp submodule.
* Some warnings fixed and other minor things.
* Hotfix 5/23/22 - fix write permission error on bb3 installer
Exploitet den Bluetooth-Stack der Wii U, um Zugriff auf den IOSU-Kernel zu erlangen.
Nachdem bluubomb ausgeführt wurde, lassen sich wieder andere Controller verbinden, da ein Deadlock auf dem gleichen Ausführungs-Thread behoben wurde. Auch kann die Konsole in diesem Fall wieder korrekt ausgeschaltet werden. Das war natürlich kein Dauerzustand, ein Reboot schuf vorher Abhilfe.
Der Bluetooth-Adapter des PCs wird außerdem vor dem Senden von Daten neu gestartet, um die Kompatibilität zu erhöhen und die "loadrpx"-Binary stellt jetzt Codegen-Zugriff zur Verfügung, was bedeutet, dass bspw. PayloadFromRPX von jedem Titel aus gestartet werden kann (für den CustomRPXLoader und EnvironmentLoader).
* The thread bluubomb is running on no longer deadlocks
This means other controllers can still be used after running bluubomb
* The console now powers off properly after running bluubomb
The console no longer needs to be force powered off while bluubomb binaries are running
* The loadrpx binary now provides codegen access to launched titles
This allows launching PayloadFromRPX from any title, for example to launch the CustomRPXLoader and EnvironmentLoader
* The Bluetooth adapter will now be restarted before sending data
This fixes issues with some adapters
Exploitet den Bluetooth-Stack der Wii U, um Zugriff auf den IOSU-Kernel zu erlangen.
Neben allgemeinen Aufräumarbeiten am Code, welche die Kompatibilität mit einigen Bluetooth-Adaptern verbessern sollen, wurde auch die Verzögerung zwischen Datentransfers erhöht. Auch wurde eine "install_wup"-Binary hinzugefügt, die eine valide, signierte WUP von der SD-Karte installiert.
* Cleaned up and removed unnecessary code.
This increases stability and compatibility with some bluetooth adapters.
* Add a longer delay between data transfers.
This fixes an issue where bluubomb just did nothing on some bluetooth adapters.
* Add a "install_wup" binary which installs valid signed WUP from the SD Card.
Refer to the README for instructions.
Exploitet den Bluetooth-Stack der Wii U, um Zugriff auf den IOSU-Kernel zu erlangen.
Kernel-Binarys werden nun von der SD-Karte geladen, was deutlich größere Binarys erlaubt. Neu ist ein Wupserver, mit dem sich mithilfe des wupclient verbunden werden kann. Dieser gibt vollen Systemzugriff und ermöglicht die beliebige Ausführung von Befehlen. Ferner gibt die "loadrpx"-Binary nun jedem Titel Regionspatches und volle cos.xml-Rechte.
* Bluubomb now loads kernel binaries from the SD Card. This allows for much larger kernel binaries with more possibilities.
* Added wupserver binary (See README for more info).
* The loadrpx binary (previously loadfile) now comes with region free patches and gives every application full cos.xml permissions.
* Removed load fw.img binary. Use one of the other methods to recover your console and launch a fw.img with a proper fw launcher.
* Don't set SSP mode if it's already disabled to avoid a warning (thanks @linkmauve).
Exploitet den Bluetooth-Stack der Wii U, um Zugriff auf den IOSU-Kernel zu erlangen.
UPDATE: v2 unterstützt Pairing mit Bluetooth-Chips von Intel.
Dieser Exploit nutzt einen Buffer Overflow im Bluetooth-Stack der Wii U aus, um IOSU-Kernel-Zugriff zu erlangen und unsignierten Code auszuführen. Es ist der gleiche Bug, den Nintendo mit der Switch-Firmware 12.0.2 gefixt hatte, aber Gary hat diesen unabhängig vorher selbst entdeckt. Ein voller Write-Up findet sich auf GitHub.
Benötigt werden ein PC mit Bluetooth und Linux (eine VM geht auch). Im Grunde genommen muss der PC nur mit der Wii U gepaired und anschließend eine Kernel-Binary gesendet werden, die wiederum bspw. eine "launch.rpx" von der SD-Karte lädt. Nützlich ist das vor allem für die, die eine Wii U mit eingerichteter Altersbeschränkung gekauft haben und somit nicht mehr den Browser-Exploit nutzen können. Für alle anderen ist der bisherige Weg über den Browser schneller.
Und wieder hat Zoogie einen Browser-Exploit für die aktuelle 3DS-Firmware 11.14.0-46 veröffentlicht. Diesmal nur für den Old3DS, da der New3DS schon bedient wurde.
Einfach den Anweisungen auf der Download-Seite folgen, die darin besteht, ein paar Dateien auf die SD zu kopieren, eine Seite im Browser aufzurufen und ein paar Knöpfe zu drücken. Wer die arm11code.bin mit der universal-otherapp überschreibt, kann auch direkt boot9strap installieren.
Dieser Exploit nutzt einen Use-After-Free Crash, während ein iFrame geparst wird. Mithilfe einer Zeile JavaScript kann ein Objekt von einem iFrame in die darüberliegende Seite verschoben werden, während der iFrame immer noch geparst wird, was den erwähnten Crash auslöst.
