close
視頻截圖(來自:Secret Club / YouTube)
Motherboard 報道稱,黑客已能夠通過誘騙不知情的玩傢點擊 Steam 遊戲邀請,實現對受害者計算機的控制。
安全研究人員 Florian 指出,盡管可導致受害者計算機被攻擊者完全控制的 Source Engine 漏洞已在部分遊戲中得到瞭修復,但同樣的問題仍存在於《CS:Go》中。
Source Engine RCE exploit triggered via steam invite(via)
Valve 與 Florian 在漏洞賞金平臺 HackerOne 上有所往來,且承認對這個“嚴重”漏洞的處理響應有點慢。
然而最讓 Florian 感到失望的是,Valve 大部分時間都沒有去搭理他。直到數月後有另一位研究人員也發現瞭同樣的 Bug,並將之與原始報告合並。
雖然 Valve 方面沒有回應此事,但據 Florian 的預估,其編寫的這份漏洞利用代碼,有高達 80% 的幾率實現有效利用。據其所述,黑客能夠利用此漏洞,並像蠕蟲一樣傳播。
一旦你順利感染瞭某位受害者的機器,便可將之“武器化”,以感染受害者的其他遊戲好友。慶幸的是,目前除瞭《CS:Go》,Valve 似乎已經修復瞭其它遊戲中的這個 Bug 。
不過這也不是我們首次見到 Valve 的這項“傳統藝能”。比如 2018 年的時候,就有一位安全研究人員在 Steam 中發現瞭一個允許攻擊者接管受害者計算機、且存在已經長達 10 年的漏洞。
此外 2019 年的時候,Valve 限制瞭某位安全研究人員的漏洞獎賞,迫使其選擇瞭公開披露該零日漏洞利用程序。
全站熱搜
留言列表
