在研究人员私下警告之后,Valve 修复了一个Dota 2的高危漏洞。
该漏洞位于 Dota 2使用的开源 JS 引擎 V8 中,它是在2021年发现的,跟踪编号 CVE-2021-38003,Google 在2021年10月修复了漏洞,但 Valve 直到上个月才修复,期间隔了15个月。安全公司 Avast 的研究人员发现,已经有一名黑客利用修补的拖延而发布了4个自定义游戏模式利用该漏洞。Dota 2支持自定义游戏模式,用户通过一个验证流程递交自己开发的自定义模式后可以公开发布供其他玩家下载。黑客递交的第一个自定义模式显然是用于概念验证的,它的一个文件名叫 evil.lua,之后递交的三个自定义模式则更隐蔽,包含了后门,可以执行通过 HTTP 下载的任意 JS 脚本。[阅读原文]