Valve czekało 15 miesięcy na naprawienie ważnego błędu w Dota 2

Cztery specjalnie przygotowane serwery w Dota 2 przez piętnaście miesięcy mogły infekować komputery graczy, zanim Valve załatało lukę w zabezpieczeniach.

Błąd skatalogowany jako CVE-2021-38003 dotyczył silnika JavaScript od Google, znanego pod nazwą V8. Z technologii korzysta między innymi właśnie Dota 2. Samo Google załatało exploit już w październiku 2021 roku, lecz Valve zainstalowało tę aktualizację dopiero w ubiegłym miesiącu, zaalarmowane przez ekspertów od bezpieczeństwa w sieci.

Popularna MOBA umożliwia graczom tworzenie własnych trybów rozgrywki, z całkiem dużą swobodą. Użytkownicy nawet z podstawową znajomością programowania mogą zgłaszać propozycje do Valve, które weryfikuje je i publikuje - lub odrzuca. Hakerzy już w marcu ubiegłego roku wykorzystali lukę, by infekować komputery - opisuje firma Avast. Wszystkie cztery serwery zostały już usunięte.

Pierwszy z trybów był najwyraźniej eksperymentem, o wiele mówiącym tytule „test addon plz ignore” i opisem, który wyjaśniał, by projektu nie pobierać i nie włączać. Wewnątrz czekał bowiem exploit CVE-2021-38003. Kolejne trzy tryby były już zapewne celowym działaniem, stawiając na dużo bardziej „skryte” podejście.

Działanie było podobne. Przygotowany tryb włączał się normalnie, lecz w tle spreparowany kod JavaScript kontaktował się z serwerem, a ten następnie automatycznie go pobierał i uruchamiał po stronie użytkownika. Nie trzeba chyba dodawać, że takie zdalne uruchamianie skryptów na nieświadomym komputerze może być dużym problemem.

Dość powiedzieć, że w klasyfikacji NIST (Narodowy Instytut Standardów i Technologii w USA) błąd CVE-2021-38003 otrzymał 8,8 punktów w 10-stopniowej skali. Nie jest obecnie jasne, dlaczego Valve tak długo zwlekało z aktualizacją silnika V8.