Исследователи: в играх Valve есть критические уязвимости — компания знает о них, но не исправляет

Точно известно как минимум о четырех эксплойтах, один из которых распространяется на все игры на базе Source.

Кстати, на сайте читать удобнее

Команда исследователей безопасности Secret Club рассказала о трех критических эксплойтах в проектах Valve. По словам исследователей, Valve сообщили о всех трех ошибках, но компания не стала их исправлять. Исследователи решили рассказать об уязвимостях публично.

Первая уязвимость есть во всех играх, построенных на движке Source. Она позволяет выполнить удаленный код на компьютере жертвы с помощью инвайта в Steam; по словам исследователей, Valve сообщили об эксплойте два года назад.

За это время, рассказывают в Secret Club, компания не исправила уязвимость, но и не дала исследователям опубликовать описание уязвимости.

Вторая уязвимость была найдена в Team Fortress 2. С ее помощью тоже можно выполнить код на компьютере жертвы: для этого нужно, чтобы игрок подключился к серверу сообщества.

Третий эксплойт нашли в Counter-Strike Global Offensive — он тоже позволяет удаленно выполнять код и срабатывает при загрузке карты. О существовании эксплойта, утверждают исследователи, Valve рассказали пять месяцев назад, сейчас он все еще не исправлен.

В комментариях к твитам Secret Club другие исследователи пишут, что Valve регулярно не реагирует на отчеты, посвященные эксплойтам в тех или иных проектах компании. Например, в CS:GO есть еще один эксплойт, о котором компании известно несколько месяцев; его тоже не исправили.

Сама компания пока не комментировала рассказ исследователей.