ClickCease La faille de haute gravité de Dota 2 exploitée dans le mode de jeu

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

La faille de haute gravité de Dota 2 exploitée dans le mode de jeu

par

Le 22 février 2023 - L'équipe de relations publiques de TuxCare

Un mode de jeu de Dota 2 exploitait une vulnérabilité de haute gravité, permettant aux attaquants d'exécuter du code à distance sur le système ciblé. La faille a été découverte en septembre 2022, mais elle n'a pas été corrigée jusqu'en janvier 2023, laissant les joueurs de Dota 2 vulnérables aux attaques.

Le bug a été découvert dans la fonction de mode de jeu personnalisé du jeu, qui permet aux joueurs de créer leurs propres parties de Dota 2. Une faille dans le code du mode de jeu personnalisé permettait à un attaquant d'exécuter un code arbitraire sur le système ciblé, d'où la vulnérabilité.

La vulnérabilité, CVE-2021-38003, a été découverte dans le moteur JavaScript open source V8 de Google, qui est inclus dans Dota 2. Bien que Google ait corrigé la vulnérabilité en octobre 2021, Valve, le développeur de Dota 2, n'a pas mis à jour son logiciel pour utiliser le moteur V8 corrigé avant le mois dernier, après que des chercheurs aient alerté l'entreprise en privé de cette vulnérabilité critique.

Les chercheurs d'Avast ont découvert le problème et l'ont signalé à Valve, le développeur du jeu. Valve a immédiatement mis à jour le code du jeu avec une nouvelle version (corrigée) de V8, et les mods de jeu malveillants ont été supprimés de sa boutique en ligne Steam. Selon Avast, la société de jeux vidéo a également informé le petit nombre d'utilisateurs ayant téléchargé la porte dérobée du problème et a mis en œuvre d'"autres mesures" non précisées pour réduire la surface d'attaque de Dota 2.

"Overthrow II" était le mode de jeu qui exploitait la vulnérabilité. Ce mode de jeu était disponible sur le Steam Workshop, une plateforme où les joueurs peuvent partager des modes de jeu personnalisés avec d'autres. Le mode de jeu a été téléchargé par plus de 2 500 joueurs et est resté disponible sur le Steam Workshop jusqu'en janvier 2023, date à laquelle il a été supprimé par Valve.

La personne qui a téléchargé le code sur la boutique Steam de Valve a utilisé le fait que Dota 2 permet aux joueurs de personnaliser le jeu de diverses manières. Selon Avast, le moteur de jeu de Dota permet à toute personne possédant des compétences de base en programmation de créer des éléments personnalisés tels que des vêtements, des écrans de chargement, des émojis de chat, voire des modes de jeu entièrement personnalisés ou de nouveaux jeux. Ils peuvent ensuite télécharger ces objets personnalisés sur la boutique Steam, qui vérifie qu'ils ne contiennent pas de contenu inapproprié avant de les mettre à la disposition des autres joueurs pour qu'ils puissent les télécharger et les utiliser.

Valve, la société à l'origine de Dota 2, a corrigé la vulnérabilité par une mise à jour de sécurité en janvier 2023. Pour se protéger des attaques potentielles, la société a conseillé aux joueurs de Dota 2 de mettre à jour leur jeu à la dernière version dès que possible.

Cet incident nous rappelle que même les jeux les plus connus sont susceptibles de présenter des failles de sécurité, ce qui souligne l'importance de l'application de correctifs et de mises à jour en temps utile. Les joueurs doivent toujours mettre à jour leurs jeux et éviter de télécharger des modes de jeu personnalisés à partir de sources non fiables.

Les sources de cette pièce comprennent un article d'ArsTechnica.

Résumé
La faille de haute gravité de Dota 2 exploitée dans le mode de jeu
Nom de l'article
La faille de haute gravité de Dota 2 exploitée dans le mode de jeu
Description
Un mode de jeu dans Dota 2 exploitait une vulnérabilité de haute gravité, permettant aux attaquants d'exécuter du code à distance sur le système ciblé.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !