Valve naprawia lukę wstrzyknięcia kodu HTML w Counter-Strike 2

W ostatnich dniach społeczność Counter-Strike 2 zauważyła poważny problem związany z bezpieczeństwem gry. Użytkownicy odkryli lukę pozwalającą na wstrzykiwanie kodu HTML do interfejsu gry, co mogło prowadzić do niepożądanych konsekwencji, takich jak ujawnienie adresów IP innych graczy.

Na czym polegała luka?

Counter-Strike 2 wykorzystuje interfejs użytkownika Panorama stworzony przez Valve, który opiera się na technologiach takich jak CSS, HTML i JavaScript. W ramach tego interfejsu pola wprowadzania danych nie były odpowiednio zabezpieczone, co umożliwiało interpretowanie wprowadzanych treści jako kodu HTML. W efekcie gracze mogli wstrzykiwać własny kod do gry, co stanowiło poważne zagrożenie.

Początkowo obawiano się, że jest to luka typu Cross-Site Scripting (XSS), która pozwala na wykonywanie kodu JavaScript w kliencie gry. Na szczęście okazało się, że problem ogranicza się do wstrzykiwania kodu HTML, co choć nadal niebezpieczne, jest mniej groźne niż pełnoprawny XSS.

Wykorzystanie luki przez graczy

Niektórzy użytkownicy zaczęli nadużywać tej luki w celu dodawania obrazów do panelu głosowania nad wyrzuceniem gracza, co początkowo wydawało się nieszkodliwą zabawą. Jednak bardziej złośliwi gracze wykorzystali ją do pozyskiwania adresów IP innych uczestników meczu. Poprzez wstawienie znacznika
odwołującego się do zewnętrznego serwera, mogli rejestrować adresy IP wszystkich, którzy widzieli takie głosowanie. Posiadanie czyjegoś adresu IP otwiera drogę do potencjalnych ataków, takich jak DDoS, które mogą zakłócić połączenie ofiary z grą.

Szybka reakcja Valve

Valve zareagowało błyskawicznie, wydając niewielką aktualizację o wielkości około 7 MB. Poprawka ta wprowadza odpowiednie zabezpieczenia w polach wprowadzania danych, które teraz traktują wprowadzony tekst jako zwykły ciąg znaków, bez interpretowania go jako kodu HTML. Dzięki temu próby wstrzyknięcia kodu nie przynoszą już efektu, a potencjalne zagrożenie zostało zażegnane.

Historia podobnych problemów

To nie pierwszy raz, gdy interfejs Panorama w grach Valve staje się źródłem problemów. W 2019 roku w Counter-Strike: Global Offensive odkryto podobną lukę, która jednak była znacznie poważniejsza, ponieważ umożliwiała wykonywanie kodu JavaScript. Taka luka typu XSS stwarzała ryzyko zdalnego wykonywania poleceń na komputerach graczy, co mogło prowadzić do jeszcze większych szkód.

Oryginalny tekst: https://www.bleepingcomputer.com/news/security/counter-strike-2-html-injection-bug-exposes-players-ip-addresses/