Nyhederne Counter-Strike : Global Offensive > Counter-Strike 2 HTML indsprøjtningsfejl afslører spilleres IP-adresser

Counter-Strike 2 HTML indsprøjtningsfejl afslører spilleres IP-adresser

Counter-Strike 2

Valve har angiveligt løst sårbarheden i CS2

I dag blev en HTML-injektionsfejl rapporteret at være blevet rettet i CS2, der blev misbrugt til at indsætte billeder i spil og opnå andre spilleres IP-adresser.

Mens det først blev anset for at være en mere alvorlig Cross Site Scripting (XSS) fejl, der tillader, at JavaScript-kode kan udføres i en klient, blev det bestemt, at fejlen kun var en HTML-injektionsfejl, der tillod indsættelse af billeder.

HTML-injektion i Counter-Strike 2

Counter-Strike 2 bruger Valves Panorama UI, en brugergrænseflade, der i høj grad inkorporerer CSS, HTML og JavaScript til designlayout.

Udviklere kan konfigurere inputfelter til at acceptere HTML i stedet for at rense det til en almindelig streng. Hvis feltet aktiverede HTML, ville al indtastet tekst blive vist som HTML-udgang.

I dag begyndte Counter-Strike-brugere at rapportere, at brugere misbrugte en HTML-injektionsfejl til at indsætte billeder i afstemningspanelet for at smide andre brugere ud af spillet.

Misbrug af sårbarheden

Selvom fejlen primært blev misbrugt til uskyldig sjov, brugte andre den til at opnå IP-adresserne på andre spillere i kampen.

Dette blev gjort ved at bruge <img> tagget til at åbne en fjern-IP-logger script, der forårsagede, at IP-adressen for hver enkelt spiller, der så afstemningen om at smide en spiller ud, blev logget.

Disse IP-adresser kunne bruges ondsindet, såsom at lancere DDoS-angreb for at tvinge spillere til at afbryde forbindelsen fra kampen.

Opdatering fra Valve

I eftermiddag frigav Valve en lille 7 MB opdatering, der angiveligt retter sårbarheden og forårsager, at al indtastet HTML bliver renset til en almindelig streng.

Når patchet er installeret, vil indsat HTML blive vist som en streng i stedet for at blive renderet af brugergrænsefladen.

BleepingComputer kontaktede Valve for at bekræfte, om denne opdatering rettede udnyttelsen, men har ikke modtaget et svar.

I 2019 blev en lignende, men mere alvorlig, fejl fundet i Counter-Strike: Global Offensive’s Panorama UI, der tillod HTML at blive injiceret via kick-funktionen.

I det specifikke tilfælde kunne det også bruges til at starte JavaScript, hvilket gjorde det til en langt mere kritisk XSS-sårbarhed, der kunne bruges til at udføre kommandoer eksternt.

Kilde : www.bing.com

Du vil måske også være interesseret i disse artikler :

  • CSGO Update 19/9 Enhances Grenade Skills for Players
    CSGO Opdatering 19/9 Forbedrer Spilleres Granatfærdigheder
  • CS: BO v1.0 fil-Counter-Strike: Beta Offensive mod til Counter-Strike: Global Offensive
    CS: BO v1.0 fil-Counter-Strike: Beta Offensive mod…
  • Counter-Strike 2: PGL Counter-Strike 2 Major Copenhagen 2024: Her er alt hvad du behøver at vide
    Counter-Strike 2: PGL Counter-Strike 2 Major…
  • Dz Clan - Det algeriske samfund :: Counter-Strike: Global offensive generelle diskussioner
    Counter-Strike 2 og snydere - Counter-Strike: Global…
  • Dz Clan - Det algeriske samfund :: Counter-Strike: Global offensive generelle diskussioner
    Indflydelsen af Counter-Strike i folks liv ::…