Support technique
Documentation
Connexion
Nous contacter
La faille de haute gravité de Dota 2 exploitée dans le mode de jeu
Le 22 février 2023 - L'équipe de relations publiques de TuxCare
Un mode de jeu de Dota 2 exploitait une vulnérabilité de haute gravité, permettant aux attaquants d'exécuter du code à distance sur le système ciblé. La faille a été découverte en septembre 2022, mais elle n'a pas été corrigée jusqu'en janvier 2023, laissant les joueurs de Dota 2 vulnérables aux attaques.
Le bug a été découvert dans la fonction de mode de jeu personnalisé du jeu, qui permet aux joueurs de créer leurs propres parties de Dota 2. Une faille dans le code du mode de jeu personnalisé permettait à un attaquant d'exécuter un code arbitraire sur le système ciblé, d'où la vulnérabilité.
La vulnérabilité, CVE-2021-38003, a été découverte dans le moteur JavaScript open source V8 de Google, qui est inclus dans Dota 2. Bien que Google ait corrigé la vulnérabilité en octobre 2021, Valve, le développeur de Dota 2, n'a pas mis à jour son logiciel pour utiliser le moteur V8 corrigé avant le mois dernier, après que des chercheurs aient alerté l'entreprise en privé de cette vulnérabilité critique.
Les chercheurs d'Avast ont découvert le problème et l'ont signalé à Valve, le développeur du jeu. Valve a immédiatement mis à jour le code du jeu avec une nouvelle version (corrigée) de V8, et les mods de jeu malveillants ont été supprimés de sa boutique en ligne Steam. Selon Avast, la société de jeux vidéo a également informé le petit nombre d'utilisateurs ayant téléchargé la porte dérobée du problème et a mis en œuvre d'"autres mesures" non précisées pour réduire la surface d'attaque de Dota 2.
"Overthrow II" était le mode de jeu qui exploitait la vulnérabilité. Ce mode de jeu était disponible sur le Steam Workshop, une plateforme où les joueurs peuvent partager des modes de jeu personnalisés avec d'autres. Le mode de jeu a été téléchargé par plus de 2 500 joueurs et est resté disponible sur le Steam Workshop jusqu'en janvier 2023, date à laquelle il a été supprimé par Valve.
La personne qui a téléchargé le code sur la boutique Steam de Valve a utilisé le fait que Dota 2 permet aux joueurs de personnaliser le jeu de diverses manières. Selon Avast, le moteur de jeu de Dota permet à toute personne possédant des compétences de base en programmation de créer des éléments personnalisés tels que des vêtements, des écrans de chargement, des émojis de chat, voire des modes de jeu entièrement personnalisés ou de nouveaux jeux. Ils peuvent ensuite télécharger ces objets personnalisés sur la boutique Steam, qui vérifie qu'ils ne contiennent pas de contenu inapproprié avant de les mettre à la disposition des autres joueurs pour qu'ils puissent les télécharger et les utiliser.
Valve, la société à l'origine de Dota 2, a corrigé la vulnérabilité par une mise à jour de sécurité en janvier 2023. Pour se protéger des attaques potentielles, la société a conseillé aux joueurs de Dota 2 de mettre à jour leur jeu à la dernière version dès que possible.
Cet incident nous rappelle que même les jeux les plus connus sont susceptibles de présenter des failles de sécurité, ce qui souligne l'importance de l'application de correctifs et de mises à jour en temps utile. Les joueurs doivent toujours mettre à jour leurs jeux et éviter de télécharger des modes de jeu personnalisés à partir de sources non fiables.
Les sources de cette pièce comprennent un article d'ArsTechnica.
