В Dota 2 больше года была известная уязвимость — ее точно использовали хакеры

В конце концов Valve все-таки закрыла уязвимость.

На протяжении 15 месяцев в Dota 2 существовала известная уязвимость, позволявшая запускать произвольный код на PC игроков. Об этом рассказали исследователи Avast, обнаружившие уязвимость и сообщившие о ней Valve.

Уязвимость была в созданном Google JavaScript-движке V8, используемом в Dota 2. Разработчики V8 нашли и устранили ее в октябре 2021 года, но Valve не стала обновлять движок до версии, где исправлена уязвимость.

Примечательно, что хакеры нашли уязвимость в Dota 2 раньше, чем исследователи. Существовало как минимум четыре пользовательских игровых режима, использовавших эту уязвимость; когда об эксплойте стало известно, Valve их удалила.

В Avast считают, что эти режимы были созданы именно хакерами: их автор или авторы не стали сообщать Valve об уязвимости и попытались скрыть использование вредоносного кода в режиме.

Редакция ArsTechnica попросила Valve прокомментировать наличие в Dota 2 уязвимости, не исправлявшейся больше года, но компания не стала отвечать на запрос издания.