《反恐精英2》曝漏洞,可在遊戲中插入圖片、抓取玩家IP地址

Editor發表於2023-12-14

近日,世界上最為流行的FPS遊戲之一《反恐精英2(Counter-Strike 2)》被爆存在漏洞,引發了遊戲社群的關注。該漏洞使得惡意玩家能夠在遊戲中插入圖片,並洩露遊戲玩家們的IP地址。


《反恐精英2》曝漏洞,可在遊戲中插入圖片、抓取玩家IP地址


這一問題最初被懷疑是潛在的嚴重跨站指令碼(XSS)漏洞,後來被確認為HTML注入漏洞。該漏洞要從遊戲開發商Valve公司的Panorama UI說起。Panorama UI負責《反恐精英2》使用者介面的佈局和設計,該UI框架與現代網頁設計的HTML/CSS/JavaScript相像。


漏洞源於Panorama UI的設計未對輸入欄位進行充分的消毒,使其可以接受HTML。這種輸入通常是應該被禁止的,因為執行不受信任的程式存在安全風險。由於這一漏洞的存在,使用者能夠注入HTML程式碼,而這些程式碼會被輸出為HTML而不是純文字。


攻擊者利用這一漏洞,透過在踢人投票皮膚中插入HTML程式碼(通常是影像元素<img>),獲得了向遊戲中新增外部內容(如指令碼或圖形)的能力。這個問題往輕了說,影響可能僅是在遊戲中插入了一些惡搞圖片。


但與此同時,還存在著其他危害,例如,惡意使用者能夠透過<img>元素觸發一個遠端IP記錄指令碼。當其他玩家檢視投票踢人皮膚時,他們的IP地址會在不知情的情況下被記錄。這些IP地址可能被用於發動分散式拒絕服務(DDoS)攻擊,透過向目標網路傳送大量流量,破壞網路服務並使玩家斷開比賽連線。


據瞭解,Valve公司已經透過釋出一個7MB的更新補丁來解決這一問題,該更新清理了任何HTML輸入,並將其轉換為純文字,以防止濫用。



編輯:左右裡

資訊來源:waxpeer

轉載請註明出處和本文連結

相關文章