В CS 2 опасная уязвимость. Любой игрок может узнать ваш IP

Или поменять свою аватарку на любую картинку из интернета.

В CS 2 появилась новая серьезная уязвимость, из-за которой другой игрок может получить доступ к вашему компьютеру. Спустя сутки разработчики все еще не выпустили патч, а заходить в CS 2, пока что, небезопасно.

Все началось с незначительного бага, из-за которого каждый игрок мог поменять свою аватарку на любую гифку, картинку или видео. Измененное изображение показывалось только в окне, появляющемся при кике. Для его воспроизведения нужно было лишь поменять свое имя на HTML-код, в котором нужно было вставить специальный тег, подгружающий любую стороннюю картинку. Проблема была лишь в ограничении на размер ника – его можно обойти с помощью внутриигрового оверлея Steam.

В Steam давно существует модерация загружаемых картинок, а анимированные и вовсе можно ставить лишь из предложенного списка. Теперь же можно поставить любую картинку из интернета, в том числе и порно – на реддите есть и такие примеры.

Позже выяснилось, что так можно вставлять абсолютно любой код, например подгружать сторонние скрипты со своих серверов. С помощью такой уязвимости можно получить доступ к любому компьютеру, например – выполнить исполняемый файл. Уже сейчас люди могут получать IP-адреса всех игроков в своей команде. 

Баг исправить очень просто: Valve достаточно поменять параметр, отвечающий за обработку никнеймов игроков – они должны обрабатываться лишь как текст, а не как HTML-теги. Пока что опасность есть в любом матче, где игрок может запустить голосование, причем пострадают лишь те, у кого загрузится табличка. 

О баге известно с 10 декабря, но разработчики выпустили фикс лишь в ночь с 11 на 12 число. Забавно, но исправить проблему удалось лишь со второй попытки – Valve выпустила два патча за одну ночь.