黑客狩猎组织Secret Club发现了多种影响Source Engine游戏(例如CS:GO)的漏洞,这些漏洞可能允许黑客通过Steam邀请函和社区服务器窃取玩家数据。他们声称,他们在两年前向Valve报告了这些漏洞之一,但不仅公司尚未对其进行修补,而且据称他们还阻止了Secret Club公开披露信息。
秘密俱乐部(Secret Club)是一个非营利性的逆向工程组织,他们在Valve的软件中发现了许多漏洞,他们在Twitter上的一系列帖子中对此进行了解释。这些漏洞中的每一个都是远程代码执行漏洞,Secret Club通过电子邮件告诉我,黑客可以“完全控制受害者的系统,该系统可以用来窃取密码,银行信息等。”
另外两篇文章展示了一种在CS:GO中工作的远程执行漏洞利用类型。这是在游戏本身中完成的,而不是通过Steam完成的。秘密俱乐部声称这是“几个月前”报告给Valve的,但据称他们尚未承认这一问题。
显示的远程代码执行在Team Fortress 2中的使用略有不同,在该版本中,黑客可以在托管社区服务器时触发该漏洞。一旦玩家进入服务器,黑客就可以将这些远程代码执行发送给服务器中的每个人,并获得对个人数据,密码以及所有您不希望黑客掌握的东西的访问权。可怕的东西。
Valve尚未就这些漏洞发表任何声明。我已与他们联系以发表评论,如果收到回复,我们将更新本文。