Търсене
Close this search box.

Грешка при инжектиране на HTML в Counter-Strike 2 разкрива IP адресите на играчите

Valve съобщи, че е поправила грешка в инжектирането на HTML в Counter-Strike 2, която днес е била широко използвана за инжектиране на изображения в игрите и получаване на IP адреси на други играчи.

Въпреки че първоначално се смяташе, че става въпрос за по-сериозен недостатък на Cross Site Scripting (XSS), който позволява изпълнението на JavaScript код в клиента, беше установено, че грешката е само HTML инжекция, която позволява инжектирането на изображения.

Counter-Strike 2 използва Panorama UI на Valve – потребителски интерфейс, който в голяма степен включва CSS, HTML и JavaScript за оформление на дизайна.

Като част от оформлението на дизайна разработчиците могат да конфигурират полетата за въвеждане да приемат HTML, вместо да го обработват до обикновен низ. Ако полето разрешава HTML, всеки въведен текст ще се визуализира на изхода като HTML.

Днес потребители на Counter-Strike започнаха да съобщават, че  е злоупотребено с недостатък в HTML инжектирането, за да инжектират изображения в панела за гласуване.

Докато недостатъкът беше злоупотребен най-вече за безобидно забавление, други го използваха, за да получат IP адресите на други геймъри в мача. Това беше направено чрез използване на маркера <img> за отваряне на скрипт за отдалечен IP регистратор, който караше IP адресът за всеки играч, който е видял удара за гласуване, да бъде регистриран. Тези IP адреси могат да бъдат използвани злонамерено, като например стартиране на DDoS атаки, за да принудят играчите да прекъснат връзката с мача. Този следобед Valve пусна малка актуализация от 7 MB, която според съобщенията коригира уязвимостта и кара всеки въведен HTML да бъде дезинфекциран до обикновен низ.

 

Източник: По материали от Интернет

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
Бъдете социални
Още по темата
17/04/2024

BMC на Intel и Lenovo съдър...

Нови открития на Binarly показват, че...
20/03/2024

Новият инструмент на GitHub...

GitHub представи нова функция с изкуствен...
20/03/2024

Ivanti отстрани критична гр...

Ivanti предупреди клиентите си незабавно да...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!