奇客 Valve 用了 15 个月才修复 Dota 2 的一个高危漏洞
在研究人员私下警告之后,Valve 修复了一个 Dota 2 的高危漏洞。该漏洞位于 Dota 2 使用的开源 JS 引擎 V8 中,它是在 2021 年发现的,跟踪编号 CVE-2021-38003,Google 在 2021 年 10 月修复了漏洞,但 Valve 直到上个月才修复,期间隔了 15 个月。安全公司 Avast 的研究人员发现,已经有一名黑客利用修补的拖延而发布了 4 个自定义游戏模式利用该漏洞。Dota 2 支持自定义游戏模式,用户通过一个验证流程递交自己开发的自定义模式后可以公开发布供其他玩家下载。黑客递交的第一个自定义模式显然是用于概念验证的,它的一个文件名叫 evil.lua,之后递交的三个自定义模式则更隐蔽,包含了后门,可以执行通过 HTTP 下载的任意 JS 脚本。
https://arstechnica.com/?p=1916611
https://arstechnica.com/?p=1916611