据报道,在全球知名的电子游戏——CS2(《反恐精英:全球攻势2》)中存在一个HTML注入漏洞,这个漏洞被广泛利用来在游戏中注入图片并获取其他玩家的IP地址。
原本被认为是一个更严重的跨站脚本(XSS)漏洞,它允许在客户端执行JavaScript代码,后来被确定仅仅是一个允许注入图片的HTML注入漏洞。
《反恐精英:全球攻势2》使用了Valve的Panorama UI,这是一个大量采用CSS、HTML和JavaScript进行设计布局的用户界面。在设计布局中,开发者可以配置输入字段接受HTML,而不是将其清理为普通字符串。如果字段启用了HTML,输入的任何文本在输出时都会作为HTML呈现。
今天,反恐精英的用户开始报告,有人正在利用HTML注入漏洞在踢人投票面板中注入图片。虽然这个漏洞大多是被用来进行无害的乐趣,但也有人利用它获取比赛中其他玩家的IP地址。这是通过使用<img>标签来打开一个远程IP记录器脚本实现的,导致看到踢人投票的每个玩家的IP地址都被记录下来。这些IP地址可能被恶意使用,比如发起DDoS攻击,强迫玩家从比赛中断开连接。
今天下午,Valve发布了一个小的7MB更新,据报道修复了这个漏洞,并导致任何输入的HTML被清理为普通字符串。例如,一旦安装了补丁,注入的HTML不会被用户界面呈现,而只会作为字符串显示,如下所示。
在2019年,一个类似但更严重的漏洞在《反恐精英:全球攻势》的Panorama UI中被发现,该漏洞允许通过踢人功能注入HTML。然而,在那个特定的情况下,它还可以用来启动JavaScript,使其成为一个更严重的XSS漏洞,可以用来远程执行命令。
