RCE-уязвимость в игре CSGO позволяет похищать пароли пользователей — securitylab

RCE-уязвимость в игре CSGO позволяет похищать пароли пользователей

11:46 / 12 Апреля, 2021 2021-04-12T12:46:45+03:00

Alexander Antipov

Компания Valve, по-видимому, знала об этой проблеме более двух лет и до сих пор не выпустила исправление.

image

Специалисты некоммерческой организации Secret Club предупредили игроков Counter-Strike: Global Offensive (CSGO) о проблеме, которая позволяет злоумышленникам красть пароли и удалено выполнять код на системе. Компания Valve, по-видимому, знала об этой проблеме длительное время и до сих пор не исправила уязвимость.

PoC-эксплоит был обнаружен экспертами более двух лет назад. Исследователи сообщили о своих находках Valve, однако компания не признала наличие проблемы, не выпустила исправление, а также запрещала раскрывать информацию об уязвимости.

Уязвимость удаленного выполнения кода позволяет хакерам получать доступ к данным пользователей с помощью системы приглашений в сервисе Steam и затрагивает все игры на игровом движке Source, разработанном компанией Valve. Хакеры также могут использовать RCE-уязвимость для выполнения практически любых действий на системе пользователя, включая доступ к данным и выполнение программ.

Злоумышленники могут запускать серверы сообщества, удаленно выполнять код на системах пользователей в игровом лобби и запускать скрипт для кражи их паролей и скинов и даже заражать жесткий диск вредоносным ПО.

Это не первый раз, когда игроков CS:GO призывают не запускать игру из соображений безопасности. Напомним, в апреле прошлого года один из пользователей анонимного web-форума 4chan опубликовал исходные коды двух видеоигр компании Valve — CS:GO и Team Fortress 2. Пользователи игрового сообщества начали паниковать, боясь появления множества читеров и PoC-кодов для уязвимостей удаленного выполнения кода. На игровых форумах, в социальных сетях и на социальном новостном сайте Reddit появились призывы не запускать данные видеоигры, поскольку RCE-эксплоит уже якобы существует. По словам некоторых пользователей, даже простое подключение к игровому серверу грозило игроку компрометацией его компьютера.

READ  NVIDIA прибегла к «мягкой силе» за невнимание журналистов к трассировке лучей - 3DNews


Данные 533 млн юзеров Facebook, даже Цукерберга, утекли в cеть, Debian запустил опрос вокруг бойкота FSF и Столлмана, а киберграбители взялись за цифровое искусство. Смотрите 12 выпуск security-новостей.


Оригинал статьи

Поделиться ссылкой:

Добавить комментарий