Сообщество Counter-Strike 2 вновь бьёт тревогу: в популярном условно-бесплатном многопользовательском шутере от студии Valve обнаружили потенциально крайне опасную уязвимость.
Источник изображения: Steam (j. valentine)
История началась с курсирующего сейчас по Сети скриншота из Counter-Strike 2, на котором в окошко голосования за исключение игрока из сессии затесалась картинка неприличного содержания.
Судя по всему, пользователь может добиться в Counter-Strike 2 исполнения html-кода, если запишет его как ник игрока. Это открывает путь к использованию скриптов или демонстрации изображений, как на примере ниже.
Источник изображения: Reddit (GurConsistent8029)
Согласно предупреждениям в сообществе Steam, социальной сети X (бывшая Twitter) и на форуме Reddit, с помощью этой лазейки злоумышленник может как минимум получить IP-адрес всех пользователей на сервере.
По словам разработчика PirateSoftware, уязвимость «очень серьёзная». Речь идёт о межсайтовом скриптинге (XSS) — типе атаки, который позволяет злоумышленнику отправлять вредоносный код (скрипт) ничего не подозревающей жертве.
«Я бы не стал играть сейчас в CS. Вы на 100 % уязвимы, пока [Valve] не исправит это. Не играйте в [Counter-Strike 2]. <…> Это невероятно легко провернуть, и вам оно не нужно от слова совсем», — предупредил PirateSoftware.
Valve пока не комментировала обнаруженную в Counter-Strike 2 уязвимость, но обычно компания оперативно реагирует на подобные происшествия: так, например, произошло с получившими по ошибке блокировку VAC невинными игроками.
Источники:
3DNews