转载:本文来自微信公众号“量子位”(ID:QbitAI),作者:梦晨,转载经授权发布。
咳咳,敲黑板,CS:GO玩家们注意啦!
《反恐精英:全球行动》这款游戏,被曝有远程代码执行漏洞(Remote Code Execute,以下简称RCE),让攻击者仅凭Steam游戏邀请就能接管你嘅电脑。
△黑客远程调用被攻击电脑嘅计算器
据白帽子黑客组织Secret Club话,漏洞存在于CS:GO使用嘅起源引擎里,两年前就已报告畀游戏制作商V社。
而家只能确定CS:GO里仲有呢个漏洞,军团要塞2已修复,第啲使用起源引擎嘅游戏情况不明。
攻击者可制作病毒通过Steam好友列表传播,玩家恍然大悟,原来噉就系一直有机器人账号一直问我玩不玩CS:GO嘅原因啊。
CS:GO拥有规模庞大嘅游戏内物品交易市场,好多玩家账号中存有价值高昂嘅虚拟物品,一旦被攻击可能带来财产损失。
对此,我哋建议唔好理睬陌生人嘅起源引擎游戏邀请,以及唔好点击第啲通过Steam好友消息发出嘅不明链接。
CS:GO目前是Steam游戏平台上同时在线玩家最多嘅游戏,拥有规模庞大嘅电竞赛事,是V社旗下最赚钱嘅游戏之一。
V社发言人目前没有表态。
V社懒得好
两年前Secret Club成员发现呢个漏洞时就提交到全球漏洞赏金平台HackerOne上。
公司可以在呢个平台发布悬赏奖励畀在佢哋嘅产品中发现安全隐患嘅黑客。V社平均对每个悬赏支付750美元。
V社对提交嘅漏洞态度从来都系支付赏金事,既不回应具体情况,也不畀修复。
Secret Club中多名成员都遭遇过呢种冷处理,SteamDB嘅创始人Pavel Djundik也证实呢一点。
热心嘅黑客们最后纷纷选择将漏洞公开。
起源引擎游戏中光RCE漏洞就有好多个,另一位黑客Bien Pham也趁此机会曝光他发现嘅RCE漏洞,通过连接到恶意嘅私人游戏服务器触发。
连接正常嘅服务器,但玩恶意嘅游戏地图也有RCE漏洞。
除咗游戏,Steam客户端也存在RCE漏洞。而且呢个漏洞持续存在10年之耐,直到18年4月才被修复。
呢个可以获得任意Steam游戏激活码嘅漏洞修复嘅倒是挺快。
程序员在线崩溃
最后,再说一说带来呢个bug嘅起源引擎本身。
起源引擎系一个古老嘅游戏引擎,于2004年诞生,半条命2是第一个使用起源引擎嘅游戏。
V社前工程师Richard Geldrich曾在推特上解释点解CS:GO嘅更新内容好少。因为而家已经没人能睇懂起源引擎1里嘅古老代码嘎啦,增加新功能而不破坏老功能非常困难。
2020年4月,CS:GO和军团要塞2两款使用起源引擎嘅游戏源代码曾遭泄露,呢下可以睇睇问题都出在边嘎啦。
有人分析泄露文件发现,代码写得好糟糕,程序员疯狂在注释中倒苦水,表示写新代码燃尽嘎啦,边有时间修复老Bug啊。
这系一个蠢办法,但我没时间做嘅更好嘎啦。
多线程嘅坏处,后面会造成程序崩溃!
我不知道点解,我唔想知道点解,我不应该思考这是点解,但如果不按糟糕嘅方法做呢个面板就唔会正确显示。
我希望我写嘅足够糟糕,呢样佢哋以后会禁止我再写用户界面。
希望G胖唔好光躺住数钱嘎啦,管管Bug。
参考链接:
[1]
[2]
[3]
cantonese.live 足跡 粵字翻譯
2021-04-16 18:07:08
请登录之后再进行评论