奥飞寺梦辰
量子比特报告 | 公众号QbitAI
咳咳,敲黑板3D交通工具,CS:GO玩家注意啦!
《反恐精英:全球行动》游戏被曝存在远程代码执行漏洞(Remote Code Execute,以下简称RCE),攻击者只需一个Steam游戏邀请即可控制您的电脑。
△黑客远程调用了被攻击电脑的计算器
据白帽黑客组织 Secret Club 称,该漏洞存在于 CS:GO 使用的 Source 引擎中起源游戏引擎,并于两年前向游戏制造商 Valve 报告。
现在只能确认CS:GO依然存在这个漏洞,军团要塞2已经修复音效,其他游戏使用源引擎的情况未知。
攻击者可以创建病毒并通过 Steam 好友列表传播,玩家突然意识到这就是为什么会有机器人帐户不断询问我是否要玩 CS:GO 的原因。
CS:GO拥有规模庞大的游戏内物品交易市场,很多玩家的账户中都有价值不菲的虚拟物品起源游戏引擎,一旦被攻击可能会造成财产损失。
对此,我们建议不要理会来自陌生人的 Source Engine 游戏邀请,不要点击通过 Steam 好友消息发送的其他未知链接。
CS:GO是目前Steam游戏平台同时在线人数最多的游戏,拥有大型电竞赛事,是Valve公司旗下最赚钱的游戏之一。
Valve 的发言人目前没有发表评论。
V社懒惰
当 Secret Club 的成员在两年前发现这个漏洞时,他们将其提交给了全球漏洞赏金平台 HackerOne。
公司可以在此平台上向发现其产品存在安全隐患的黑客发放奖金。 Valve 平均为每个赏金支付 750 美元。
Valve 对提交的漏洞的态度一直是支付赏金,既不针对具体情况做出回应,也不修复。
Secret Club的多名成员都曾经历过这种冷遇,SteamDB创始人Pavel Djundik也证实了这一点。
狂热的黑客们最终选择了将漏洞公开。
源引擎游戏存在很多RCE漏洞。 另一位黑客 Bien Pham 也借此机会曝光了他发现的 RCE 漏洞,该漏洞是通过连接恶意私人游戏服务器触发的。
连接正常服务器,但玩恶意游戏地图也存在RCE漏洞。
除了游戏,Steam客户端也存在RCE漏洞。 而且这个漏洞已经存在了10年,直到2018年4月才被修复。
这个可以获取任何Steam游戏激活码的漏洞很快就被修复了。
程序员在线崩溃
最后说一下带来这个bug的源码引擎本身。
源引擎是诞生于2004年的古老游戏引擎,《半条命2》是第一款使用源引擎的游戏。
前 V 机构工程师 Richard Geldrich 曾在 Twitter 上解释过为什么 CS:GO 的更新这么少。 因为没有人能再理解 Source Engine 1 中的古老代码,所以很难在不破坏旧功能的情况下添加新功能。
2020 年 4 月,CS:GO 和军团要塞 2 这两款使用该源引擎的游戏的源代码被泄露。 现在我们可以看到问题出在哪里了。
有人分析泄露的文件,发现代码写得不好,程序员们疯狂地在评论里泼苦水,说写新代码累死了,没时间修复老bug。
这是一个愚蠢的想法,但我没有时间做得更好。
多线程的缺点就是后面会导致程序崩溃!
我不知道为什么,我不想知道为什么,我不应该想这是为什么,但如果我不以糟糕的方式进行操作,面板将无法正确显示。
我希望我写得足够糟糕,以至于他们将来禁止我编写用户界面。
希望G胖子不要光躺着数钱,收拾bug。
参考链接:
[1]
[2]
[3]
- 结束-
本文为网易新闻•网易精选内容激励计划签约账号【量子位】原创内容,未经账号授权,禁止随意转载。
加入AI社区,拓展您在AI行业的人脉
量子位“AI社区”招募中! 欢迎AI从业者和关注AI行业的朋友扫码加入,与50000+好友一起关注人工智能行业发展&技术进步:
量子位 QbitAI 今日头条签约作者
վ'ᴗ' ի 追踪AI技术和产品的最新动态
一键三连“分享”“点赞”“观看”
科技前沿的进步每天见面~
