Notebookcheck Logo

反恐精英 2》漏洞短暂允许恶意代码注入和 IP 抓取,开发商匆忙发布补丁程序

尽管存在一个令人担忧的安全漏洞,《反恐精英 2》在 12 月 11 日的同时在线玩家人数仍然超过了 100 万。(图片来源:Valve)
尽管存在一个令人担忧的安全漏洞,《反恐精英 2》在 12 月 11 日的同时在线玩家人数仍然超过了 100 万。(图片来源:Valve)
本周发现了一个《反恐精英 2》的安全漏洞,使有心的玩家可以访问游戏大厅中其他玩家的 IP 地址并在其机器上运行代码。该漏洞影响了在后端运行网页代码的大厅投票机制,允许嵌入本地文件和脚本。幸运的是,Valve 已经发布了一个补丁来关闭该漏洞。
Gaming Fail Security

新游戏推出后的几个月对任何开发商来说都是艰难的,尤其是网络游戏,但开发商在游戏中遇到安全漏洞,可能给玩家带来严重问题的情况并不常见。

本周 Valve 的《反恐精英 2》似乎就遇到了这种情况。RedditX(又名 Twitter)上的许多帖子都在讨论《反恐精英 2》中的一个安全漏洞。该漏洞允许玩家使用用户名中的 HTML 运行 JavaScript,并对同一游戏大厅中的任何人执行 XSS 攻击。

起初,该漏洞似乎只允许坏人访问大厅中其他玩家的 IP 地址,但后来发现,利用同样的漏洞还可以进行代码注入。由于攻击的严重性,安全专家建议玩家,如PirateSoftware 网站的用户等安全专家建议玩家在漏洞修复之前不要玩《反恐精英 2》。

根据 Steam Charts 的数据,安全漏洞似乎并未对玩家数量造成影响,在 12 月 11 日漏洞公开期间,同时在线玩家数量的峰值仍在 100 万左右。相比之下,此前一周的日峰值通常为 110 万左右。

截至发稿时,Valve 似乎已经修补了该漏洞,而网上的讨论表明,Valve 有可能很容易地检测到是谁利用了这个问题。这意味着任何利用该漏洞的人都可能受到 VAC 封禁。

百思买购买华硕 ROG Ally,或在亚马逊购买带霍尔效应感应手柄和充电底座的 8Bitdo Ultimate 蓝牙控制器。

Please share our article, every link counts!
> Notebookcheck中文版(NBC中国) > 新闻 > 新闻档案 > 新闻档案 2023 12 > 反恐精英 2》漏洞短暂允许恶意代码注入和 IP 抓取,开发商匆忙发布补丁程序
Julian van der Merwe, 2023-12-12 (Update: 2023-12-12)