Śmieszna usterka zabezpieczeń w Counter Strike 2 już naprawiona

Niezabezpieczona luka w Counter-Strike 2

Gra komputerowa Counter-Strike 2 doświadczyła ostatnio nieprzyjemnego incydentu związane z luką w zabezpieczeniach, która mogła pozwolić złym aktorom teoretycznie przechwytywać adresy IP innych graczy na serwerze. Jak to się stało?

Odkrycie i przyczyna

Wszystko zaczęło się od odkrycia przez użytkownika forum [Crouch9706]. Okazało się, że problemem jest sposób, w jaki Counter-Strike 2 analizuje imiona graczy wpisane w ich profile Steam. W niektórych menu i w innych częściach interfejsu gry, program faktycznie analizuje kod HTML w nazwie gracza. Typowym sposobem wywołania tej funkcji jest dołączenie do gry i oddanie głosu na swoje wyrzucenie. Powoduje to wyświetlenie okna dialogowego innym graczom, które pokazuje ich imię oraz analizuje kod HTML. Jedynym ograniczeniem jest ilość 32 znaków na kod HTML.

Metoda zdobywania IP

Okazało się, że można wykorzystać tę technikę, aby przechwycić adres IP innego gracza. Wystarczyło umieścić kod HTML, który łączy się z własnym serwerem, aby zarejestrować adresy IP graczy łączących się z serwerem w poszukiwaniu obrazu.

Niebezpieczeństwo i konsekwencje

Oczywiście, nie jest to największe ryzyko, ponieważ wielu graczy korzysta z dostawców internetu, którzy stosują CGNAT, co czyni zebrane adresy IP raczej bezużytecznymi. Niemniej jednak, tego rodzaju nieoczekiwane wstrzyknięcie kodu jest naprawdę niedopuszczalne z punktu widzenia bezpieczeństwa. Co najmniej może narazić graczy na nieprzyjemne obrazy.

Podsumowanie

Informacje krążące po sieci sugerują, że luka została już załatana. Tymczasem, jeśli pracujesz nad grą, która z jakiegoś powodu wykonuje kod na podstawie imion graczy lub innych danych, należy jak najszybciej to poprawić. Jeśli natrafisz na podobne luki, nie wahaj się skontaktować z odpowiednimi służbami i powiadomić też deweloperów gry!

Źródło : hackaday.com