Valve仍未修復基於Steam遊戲邀請的《CS:GO》嚴重漏洞

一位安全研究人員在 Valve 的遊戲引擎中發現了一個「嚴重」漏洞,當前熱門的《反恐精英》線上遊戲也受到了波及。盡管早在 2019 年 6 月就發出了警告,但遺憾的是,作為 Source Engine 和《CS:Go》、《Team Fortress 2》等遊戲的製造商,該公司的修復速度實在太慢。

Valve仍未修復基於Steam遊戲邀請的《CS:GO》嚴重漏洞

視頻截圖(來自:Secret Club / YouTube)

Motherboard 報導稱,黑客已能夠通過誘騙不知情的玩家點擊 Steam 遊戲邀請,實現對受害者計算機的控制。

安全研究人員 Florian 指出,盡管可導致受害者計算機被攻擊者完全控制的 Source Engine 漏洞已在部分遊戲中得到了修復,但同樣的問題仍存在於《CS:Go》中。

Source Engine RCE exploit triggered via steam invite(via

Valve 與 Florian 在漏洞賞金平台 HackerOne 上有所往來,且承認對這個「嚴重」漏洞的處理響應有點慢。

然而最讓 Florian 感到失望的是,Valve 大部分時間都沒有去搭理他。直到數月後有另一位研究人員也發現了同樣的 Bug,並將之與原始報告合並。

Valve仍未修復基於Steam遊戲邀請的《CS:GO》嚴重漏洞

雖然 Valve 方面沒有回應此事,但據 Florian 的預估,其編寫的這份漏洞利用代碼,有高達 80% 的幾率實現有效利用。據其所述,黑客能夠利用此漏洞,並像蠕蟲一樣傳播。

一旦你順利感染了某位受害者的機器,便可將之「武器化」,以感染受害者的其他遊戲好友。慶幸的是,目前除了《CS:Go》,Valve 似乎已經修復了其它遊戲中的這個 Bug 。

Valve仍未修復基於Steam遊戲邀請的《CS:GO》嚴重漏洞

不過這也不是我們首次見到 Valve 的這項「傳統藝能」。比如 2018 年的時候,就有一位安全研究人員在 Steam 中發現了一個允許攻擊者接管受害者計算機、且存在已經長達 10 年的漏洞。

此外 2019 年的時候,Valve 限制了某位安全研究人員的漏洞獎賞,迫使其選擇了公開披露該零日漏洞利用程序。

來源:cnBeta