A Valve confirmou a correção de uma falha de segurança em Counter-Strike 2, que poderia permitir aos jogadores injetarem imagens em componentes que, por norma, não possuem essa capacidade dentro do jogo, e com o potencial de obter os IPs dos utilizadores na partida.
O Counter-Strike 2 utiliza a interface Panorama UI da Valve, que é assente sobre HTML, Javascript e CSS. Neste caso, a falha permitia que utilizadores mal intencionados pudessem alterar os seus nomes dentro do jogo, de forma a carregar uma imagem quando certos componentes do mesmo eram apresentados a outros jogadores – como nas votações para banir jogadores de uma partida.
A falha permitia que, caso os nomes de utilizador fossem alterados para HTML base de imagens, esse conteúdo fosse apresentado dentro do jogo, em locais onde normalmente não seria possível. Ao mesmo tempo, a falha poderia permitir que os atacantes carregarem as imagens, e pudessem obter os IPs de todos os jogadores na partida.
Na maioria dos casos, a falha terá sido usada apenas como “piada” durante as partidas, mas eventualmente pode levar a casos onde os IPs dos jogadores podem ser revelados durante a partida.
Durante o dia de hoje, a Valve lançou uma pequena atualização para o jogo, com apenas 7 MB, mas que seria suficiente para corrigir a falha. Neste caso, a falha apenas poderia ser explorada com ficheiros de imagens, mas a Valve teve de corrigir um problema similar em 2019, com CS:GO, que afetava igualmente a interface, mas permitia correr javascript nos clientes de outros jogadores, com implicações de segurança consideravelmente mais graves.
(TT)