Valve仍未修复基于Steam游戏邀请的《CS:GO》严重漏洞

2021-04-14 大飞

一位安全研究人员在 Valve 的游戏引擎中发现了一个“严重”漏洞,当前热门的《反恐精英》线上游戏也受到了波及。尽管早在 2019 年 6 月就发出了警告,但遗憾的是,作为 Source Engine 和《CS:Go》、《Team Fortress 2》等游戏的制造商,该公司的修复速度实在太慢。

Valve仍未修复基于Steam游戏邀请的《CS:GO》严重漏洞

视频截图(来自:Secret Club / YouTube)

Motherboard 报道称,黑客已能够通过诱骗不知情的玩家点击 Steam 游戏邀请,实现对受害者计算机的控制。

安全研究人员 Florian 指出,尽管可导致受害者计算机被攻击者完全控制的 Source Engine 漏洞已在部分游戏中得到了修复,但同样的问题仍存在于《CS:Go》中。

Source Engine RCE exploit triggered via steam invite(via)

Valve 与 Florian 在漏洞赏金平台 HackerOne 上有所往来,且承认对这个“严重”漏洞的处理响应有点慢。

然而最让 Florian 感到失望的是,Valve 大部分时间都没有去搭理他。直到数月后有另一位研究人员也发现了同样的 Bug,并将之与原始报告合并。

Valve仍未修复基于Steam游戏邀请的《CS:GO》严重漏洞

虽然 Valve 方面没有回应此事,但据 Florian 的预估,其编写的这份漏洞利用代码,有高达 80% 的几率实现有效利用。据其所述,黑客能够利用此漏洞,并像蠕虫一样传播。

一旦你顺利感染了某位受害者的机器,便可将之“武器化”,以感染受害者的其他游戏好友。庆幸的是,目前除了《CS:Go》,Valve 似乎已经修复了其它游戏中的这个 Bug 。

Valve仍未修复基于Steam游戏邀请的《CS:GO》严重漏洞

不过这也不是我们首次见到 Valve 的这项“传统艺能”。比如 2018 年的时候,就有一位安全研究人员在 Steam 中发现了一个允许攻击者接管受害者计算机、且存在已经长达 10 年的漏洞。

此外 2019 年的时候,Valve 限制了某位安全研究人员的漏洞奖赏,迫使其选择了公开披露该零日漏洞利用程序。

APP排行榜

赛马娘prett yderby

10.0分

180652

剑客物语

10.0分

152301

地城邂逅记忆憧憬

9.0分

127562

4

奇趣大冒险

9.0分

102654

5

三国志汉末霸业

9.0分

100278

6

小镇大厨

8.0分

89541

7

动物森林会

8.0分

80574

8

摩尔庄园

8.0分

75489

9

城堡传说大乱斗

7.0分

72451

10

魔女之泉

7.0分

69486