Descobrindo o perigo oculto de uma falha trivial no Counter-Strike 2!
A Valve identificou uma vulnerabilidade no “Counter-Strike 2” que expôs os endereços IP dos jogadores, o que poderia facilitar o acesso não autorizado ou tentativas de hacking. Para mitigar este risco e proteger a segurança dos utilizadores, implementaram imediatamente uma correção para proteger contra tais ameaças provenientes de indivíduos específicos.
Fonte: Válvula
Embora Counter-Strike 2 permaneça numa fase inicial, já foi observado que contém certas imperfeições, algumas das quais podem representar riscos potenciais. Por exemplo, foi descoberta uma vulnerabilidade envolvendo injeção de HTML, permitindo que indivíduos não autorizados obtivessem acesso aos endereços IP dos jogadores. Felizmente, o problema foi prontamente resolvido pela Valve, editora do jogo.
Uma falha que começou com algumas piadas no Counter-Strike 2…
O jogo emprega uma interface de usuário chamada Panorama UI, criada pela Valve, utilizando CSS, HTML e JavaScript para sua organização. Os designers têm a capacidade de construir campos de entrada capazes de reconhecer o código HTML. Recentemente, vários jogadores relataram que certos indivíduos estão explorando uma vulnerabilidade de injeção de HTML para inserir recursos visuais no painel de exclusão usado para discernir participantes malévolos.
Fonte: vale via
A Valve introduziu um patch de apenas 7 megabytes em 11 de dezembro que transformava qualquer código HTML injetado, impossibilitando a exibição de imagens dentro do jogo. Consequentemente, em vez de visualizar uma imagem, o próprio código aparecerá em formato de texto.
…mas que permitia acesso aos endereços IP dos jogadores
Na realidade, esta vulnerabilidade tinha o potencial de ser significativamente mais grave do que inicialmente percebido. Inicialmente, acreditávamos que se tratasse de uma exploração de Cross-Site Scripting (XSS), permitindo a execução de código JavaScript nos dispositivos dos usuários e ampliando o leque de possíveis impactos. No entanto, após um exame mais aprofundado, foi determinado que se tratava de uma instância de injeção de HTML, permitindo a exibição de imagens em vez de scripts executáveis.
Fonte: Aquário via X
Através da utilização de tags de imagem, os cibercriminosos foram capazes de executar uma operação secreta em que registram os endereços IP de indivíduos que visualizam uma votação específica, conforme observado pelo Bleeping Computer. As potenciais implicações da obtenção de tais informações são preocupantes, dado que um endereço IP pode ser explorado para orquestrar um ataque distribuído de negação de serviço (DDoS), que envolve sobrecarregar um sistema alvo com pedidos excessivos, causando assim o seu mau funcionamento e potencialmente perturbando experiências de jogos online, como no caso do Counter-Strike 2.
*️⃣ Link da fonte: