遊戲模式中利用的 Dota 2 高嚴重性漏洞

Dota 2 中的遊戲模式利用了一個高嚴重性漏洞，允許攻擊者在目標系統上遠端執行代碼。該漏洞於 2022 年 9 月被發現，但直到 2023 年 1 月才修補，使 Dota 2 玩家容易受到攻擊。

該錯誤是在遊戲的自定義遊戲模式功能中發現的，該功能允許玩家創建自己的 Dota 2 遊戲。自定義遊戲模式代碼中存在一個缺陷，使得攻擊者能夠在目標系統上執行任意代碼，從而導致該漏洞。

該漏洞 CVE-2021-38003 是在 Google 的開源 JavaScript 引擎 V8 中發現的，該引擎包含在 Dota 2 中。儘管谷歌在 2021 年 10 月修補了該漏洞，但 Dota 2 開發商 Valve 直到上個月才更新其軟體以使用修補後的 V8 引擎，此前研究人員私下提醒該公司注意該關鍵漏洞。

Avast研究人員發現了這個問題，並將其報告給了遊戲開發商Valve。Valve立即將遊戲代碼更新為V8的新（修補）版本，流氓遊戲模組已從其Steam在線商店中刪除。根據Avast的說法，該遊戲公司還通知了下載後門的少數使用者有關該問題的資訊，並實施了未指明的“其他措施”來減少Dota 2的攻擊面。

“推翻II”是利用該漏洞的遊戲模式。遊戲模式在 Steam 創意工坊上提供，玩家可以在平臺上與他人分享自定義遊戲模式。該遊戲模式被超過 2，500 名玩家下載，並在 Steam 創意工坊上一直可用，直到 2023 年 1 月被 Valve 刪除。

將代碼上傳到 Valve 的 Steam 商店的人利用了 Dota 2 允許玩家以多種方式自定義遊戲的事實。根據Avast的說法，Dota的遊戲引擎允許任何具有基本程式設計技能的人創建自定義專案，例如可穿戴設備，載入螢幕，聊天表情符號，甚至整個自定義遊戲模式或新遊戲。然後，他們可以將這些自定義物品上傳到 Steam 商店，在將它們提供給其他玩家下載和使用之前，它會檢查它們是否存在不適當的內容。

Dota 2 背後的公司 Valve 在 2023 年 1 月通過安全更新解決了該漏洞。為了保護自己免受潛在攻擊，該公司建議Dota 2玩家儘快將遊戲更新到最新版本。

該事件提醒人們，即使是知名遊戲也容易受到安全漏洞的影響，強調了及時修補和更新的重要性。玩家應始終更新他們的遊戲，並避免從不可信的來源下載自定義遊戲模式。

這篇文章的來源包括 ArsTechnica的一篇文章。

總結

文章名稱

遊戲模式中利用的 Dota 2 高嚴重性漏洞

描述

Dota 2 中的遊戲模式利用了一個高嚴重性漏洞，允許攻擊者在目標系統上遠端執行代碼。

作者

奧班拉·奧佩耶米

發行者名稱

燕尾服護理

發行者徽標