《反恐精英2》曝漏洞，可在遊戲中插入圖片、抓取玩家IP地址

近日，世界上最為流行的FPS遊戲之一《反恐精英2（Counter-Strike 2）》被爆存在漏洞，引發了遊戲社群的關注。該漏洞使得惡意玩家能夠在遊戲中插入圖片，並洩露遊戲玩家們的IP地址。

這一問題最初被懷疑是潛在的嚴重跨站指令碼（XSS）漏洞，後來被確認為HTML注入漏洞。該漏洞要從遊戲開發商Valve公司的Panorama UI說起。Panorama UI負責《反恐精英2》使用者介面的佈局和設計，該UI框架與現代網頁設計的HTML/CSS/JavaScript相像。

漏洞源於Panorama UI的設計未對輸入欄位進行充分的消毒，使其可以接受HTML。這種輸入通常是應該被禁止的，因為執行不受信任的程式存在安全風險。由於這一漏洞的存在，使用者能夠注入HTML程式碼，而這些程式碼會被輸出為HTML而不是純文字。

攻擊者利用這一漏洞，透過在踢人投票皮膚中插入HTML程式碼（通常是影像元素<img>），獲得了向遊戲中新增外部內容（如指令碼或圖形）的能力。這個問題往輕了說，影響可能僅是在遊戲中插入了一些惡搞圖片。

但與此同時，還存在著其他危害，例如，惡意使用者能夠透過<img>元素觸發一個遠端IP記錄指令碼。當其他玩家檢視投票踢人皮膚時，他們的IP地址會在不知情的情況下被記錄。這些IP地址可能被用於發動分散式拒絕服務（DDoS）攻擊，透過向目標網路傳送大量流量，破壞網路服務並使玩家斷開比賽連線。

據瞭解，Valve公司已經透過釋出一個7MB的更新補丁來解決這一問題，該更新清理了任何HTML輸入，並將其轉換為純文字，以防止濫用。

編輯：左右裡

資訊來源：waxpeer

轉載請註明出處和本文連結