近日,世界上最为流行的FPS游戏之一《反恐精英2(Counter-Strike 2)》被爆存在漏洞,引发了游戏社区的关注。该漏洞使得恶意玩家能够在游戏中插入图片,并泄露游戏玩家们的IP地址。
这一问题最初被怀疑是潜在的严重跨站脚本(XSS)漏洞,后来被确认为HTML注入漏洞。该漏洞要从游戏开发商Valve公司的Panorama UI说起。Panorama UI负责《反恐精英2》用户界面的布局和设计,该UI框架与现代网页设计的HTML/CSS/JavaScript相像。
漏洞源于Panorama UI的设计未对输入字段进行充分的消毒,使其可以接受HTML。这种输入通常是应该被禁止的,因为运行不受信任的程序存在安全风险。由于这一漏洞的存在,用户能够注入HTML代码,而这些代码会被输出为HTML而不是纯文本。
攻击者利用这一漏洞,通过在踢人投票面板中插入HTML代码(通常是图像元素<img>),获得了向游戏中添加外部内容(如脚本或图形)的能力。这个问题往轻了说,影响可能仅是在游戏中插入了一些恶搞图片。
但与此同时,还存在着其他危害,例如,恶意用户能够通过<img>元素触发一个远程IP记录脚本。当其他玩家查看投票踢人面板时,他们的IP地址会在不知情的情况下被记录。这些IP地址可能被用于发动分布式拒绝服务(DDoS)攻击,通过向目标网络发送大量流量,破坏网络服务并使玩家断开比赛连接。
据了解,Valve公司已经通过发布一个7MB的更新补丁来解决这一问题,该更新清理了任何HTML输入,并将其转换为纯文本,以防止滥用。
编辑:左右里
资讯来源:waxpeer
转载请注明出处和本文链接
Copyright © 2024 妖气游戏网 www.17u1u.com All Rights Reserved