Meghívnak játszani, aztán kifosztják a raktáradat - A Valve végre lépéseket tett
Mindezt két évvel azután, hogy először jelezték a fejlesztő cég felé.
Mindezt két évvel azután, hogy először jelezték a fejlesztő cég felé.
Mindezt két évvel azután, hogy először jelezték a fejlesztő cég felé.
Tíz nappal ezelőtt óriási port kavart, amikor először napvilágot látott a Secret Club nevű nonprofit társaság azon közleménye, miszerint már két évvel ezelőtt jelentettek egy bugot a Valve-nak, amit a cég azóta sem javított ki. A hír pillanatok alatt bejárta a nemzetközi sajtót, mi ebben a cikkben foglalkoztunk az üggyel. Szerencsére segített a közösségi nyomás, amelynek hatására a fejlesztő végre vette a fáradtságot és sikeresen kijavította a hibát.
Good news! Valve fixed my recent exploit and gave me permissions to disclose details. That being said, I am working on a detailed technical write-up which I am going to release soon. Stay tuned!
— Florian (@floesen_) April 17, 2021
A Secret Club által felfedezett hiba viszont egy új formáját mutatja be a trükköknek, ami nem más, mint egy egyszerű játékkérelem. A fogadó fél mindössze annyit vesz észre, hogy egy ismerőse játékmeghívót küldött. Ezt elfogadva pedig gyakorlatilag bármihez hozzáférhetnek a gépünkön. Rosszabb esetben tönkretehetik a gépünket, miközben lehúzzák a Steam fiókunkat, így ameddig a gép helyreállításával törődünk, addig gond nélkül eltüntethetik a tárgyainkat a raktárunkból. – írtuk korábbi cikkünkben.
Alapvetően az exploitokat a kapcsolat módja szerint két csoportra oszthatjuk, vannak local (helyi) és remote (távoli) exploitok. A fentebb részletezett példa az utóbbi kategóriába tartozik, azaz a felmerülő hiba távoli programfuttatást tesz lehetővé. Velejárója az is, hogy nem szükséges hozzáférés a rendszerhez, hiszen hálózaton keresztül működik és gyakorlatilag mi magunk „adunk engedélyt” a biztonsági rés kihasználására.
A bugot először a Secret Club egyik tagja, Florian jelentette a Valve-nak, még két évvel ezelőtt, de szavai süket fülekre találtak. Nem először történik ilyen a CS:GO fejlesztőjénél, a jelenség piszkosul hasonlít a coach bug botrányhoz, ami még tavaly ősszel ütötte fel a fejét.
Two years ago, slidybat reported a remote code execution affecting Team Fortress 2. It can be triggered by joining a community server. It has yet to be patched. pic.twitter.com/JqIQu18g3O
— secret club (@the_secret_club) April 11, 2021
Szívesen mondanám azt, hogy remélhetőleg a jövőben több ilyen nem fog előfordulni, ám sajnos ez már most dugába dőlt, ugyanis mint kiderült, a hiba nem csak a CS:GO-t érintette. Ugyan a bug a Team Fortress 2-nél nem meghívás, hanem közösségi szerverre való csatlakozás formájában lép fel, az sem sokkal megnyugtatóbb. Pláne annak fényében, hogy az a hiba is két éve jelentve lett már, viszont – a CS:GO buggal ellentétben – a mai napig nem javították.
Update: Időközben napvilágra került számos további RCE (remote code execution), így a Valve-nak a Team Fortress 2-es hibán kívül is bőven lesz még feladata. Bízzunk benne, hogy ezeket is sikerül megoldaniuk!