Błąd wstrzykiwania HTML w Counter-Strike 2 wykorzystany do wstrzykiwania obrazów i kradzieży adresów IP, teraz naprawiony

Znaleziono lukę w zabezpieczeniach gry CS2

Zgodnie z raportem BleepingComputer błąd, który pierwotnie uważano za bardziej poważne wykorzystanie luki w skrypcie Cross-Site Scripting (XSS), został odkryty przez użytkowników, którzy zaobserwowali wstrzykiwanie obrazów do panelu głosującego za wyrzuceniem. Mimo że było to głównie wykorzystywane w celach humorystycznych, niektórzy gracze nadużyli luki, by ukraść adresy IP za pomocą osadzonego skryptu do logowania adresów IP.

Luka w zabezpieczeniach

Zranializowano, że CS2 korzysta z interfejsu użytkownika Valve Panorama UI, który opiera się głównie na CSS, HTML i JavaScript dla układu projektu. Deweloperzy mogą skonfigurować pola wejściowe tak, by akceptowały HTML lub oczyszczały go do zwykłego ciągu znaków. Niestety, niektóre pola w CS2 zostały skonfigurowane tak, by akceptowały nieoczyszczony HTML.

To pozwoliło złośliwym użytkownikom na wstrzykiwanie dowolnego kodu HTML, prowadząc do obserwowanego wstrzykiwania obrazów i kradzieży adresów IP. Tag był używany do linkowania do zdalnego skryptu do logowania adresów IP, ujawniając adresy IP każdego, kto przeglądał sfałszowany panel głosowania za wyrzuceniem.

Potencjalne zastosowanie w celach nieuczciwych

Choć początkowe raporty skupiły się na wstrzykiwaniu obrazów jako kawał, potencjalne zastosowanie w celach nieuczciwych było znaczące. Skradzione adresy IP mogą być wykorzystane do wywoływania ataków DDoS, zakłócania rozgrywki i nawet powodowania rozłączania się z gry.

Naprawa luki w zabezpieczeniach

W odpowiedzi na raporty Valve wydał małą aktualizację (około 7 MB), która usuwa luki w zabezpieczeniach. Ta aktualizacja oczyszcza cały wprowadzony HTML do zwykłego ciągu znaków, zapobiegając wykonaniu złośliwego kodu i upewniając się, że obrazy są wyświetlane jako tekst, a nie renderowane.

Zalecenia

Mimo że luka w zabezpieczeniach została naprawiona, gracze wciąż są zachęcani do podjęcia następujących środków ostrożności:

– Aktualizuj CS2 do najnowszej wersji, aby zabezpieczyć się przed lukią w zabezpieczeniach.

– Bądź ostrożny wobec podejrzanych linków i obrazów. Nie klikaj w podejrzane linki ani obrazy, zwłaszcza tych pojawiających się w interfejsie gry.

– Zgłaszaj podejrzaną aktywność. Jeśli natrafisz na podejrzaną aktywność, natychmiast zgłoś ją Valve.

Dzięki stosowaniu tych zaleceń gracze mogą pomóc zapewnić bezpieczne i przyjemne doświadczenie z CS2.

Źródło : www.bing.com