Valve仍未修复基于Steam游戏邀请的《CS:GO》严重漏洞

2021年04月14日 11:52 次阅读 稿源:cnBeta.COM 条评论

一位安全研究人员在 Valve 的游戏引擎中发现了一个“严重”漏洞,当前热门的《反恐精英》线上游戏也受到了波及。尽管早在 2019 年 6 月就发出了警告,但遗憾的是,作为 Source Engine 和《CS:Go》、《Team Fortress 2》等游戏的制造商,该公司的修复速度实在太慢。

视频截图(来自:Secret Club / YouTube)

Motherboard 报道称,黑客已能够通过诱骗不知情的玩家点击 Steam 游戏邀请,实现对受害者计算机的控制。

安全研究人员 Florian 指出,尽管可导致受害者计算机被攻击者完全控制的 Source Engine 漏洞已在部分游戏中得到了修复,但同样的问题仍存在于《CS:Go》中。

Source Engine RCE exploit triggered via steam invite(via

Valve 与 Florian 在漏洞赏金平台 HackerOne 上有所往来,且承认对这个“严重”漏洞的处理响应有点慢。

然而最让 Florian 感到失望的是,Valve 大部分时间都没有去搭理他。直到数月后有另一位研究人员也发现了同样的 Bug,并将之与原始报告合并。

虽然 Valve 方面没有回应此事,但据 Florian 的预估,其编写的这份漏洞利用代码,有高达 80% 的几率实现有效利用。据其所述,黑客能够利用此漏洞,并像蠕虫一样传播。

一旦你顺利感染了某位受害者的机器,便可将之“武器化”,以感染受害者的其他游戏好友。庆幸的是,目前除了《CS:Go》,Valve 似乎已经修复了其它游戏中的这个 Bug 。

不过这也不是我们首次见到 Valve 的这项“传统艺能”。比如 2018 年的时候,就有一位安全研究人员在 Steam 中发现了一个允许攻击者接管受害者计算机、且存在已经长达 10 年的漏洞。

此外 2019 年的时候,Valve 限制了某位安全研究人员的漏洞奖赏,迫使其选择了公开披露该零日漏洞利用程序。

我们在FebBox(https://www.febbox.com/cnbeta) 开通了新的频道,更好阅读体验,更及时更新提醒,欢迎前来阅览和打赏。

对文章打分

Valve仍未修复基于Steam游戏邀请的《CS:GO》严重漏洞

8 (80%)
已有 条意见

    最新资讯

    加载中...

    编辑精选

    加载中...

    热门评论

      Top 10

      招聘

      created by ceallan