Notebookcheck Logo

Counter-Strike 2 exploit maakt kortstondige injectie van kwaadaardige code en IP-grabbing mogelijk voordat ontwikkelaar haastig patch uitbrengt

Ondanks een alarmerend beveiligingslek slaagde Counter-Strike 2 er op 11 december nog steeds in om meer dan 1 miljoen gelijktijdige spelers te bereiken. (Afbeeldingsbron: Valve)
Ondanks een alarmerend beveiligingslek slaagde Counter-Strike 2 er op 11 december nog steeds in om meer dan 1 miljoen gelijktijdige spelers te bereiken. (Afbeeldingsbron: Valve)
Deze week werd een beveiligingslek in Counter-Strike 2 ontdekt, waardoor ondernemende spelers toegang kregen tot de IP-adressen en code konden uitvoeren op machines van andere spelers in de lobby van het spel. De exploit betrof het stemmechanisme in de lobby dat webcode in de back-end uitvoerde, waardoor lokale bestanden en scripts konden worden ingesloten. Gelukkig heeft Valve al een patch uitgebracht om de exploit te sluiten.
Gaming Fail Security

De maanden na de lancering van een nieuw spel zijn zwaar voor elke ontwikkelaar - vooral voor een online spel - maar het is niet gebruikelijk dat ontwikkelaars te maken krijgen met beveiligingsproblemen in hun spellen die ernstige problemen kunnen veroorzaken voor hun spelers.

Dit lijkt precies te zijn wat er deze week gebeurde met Counter-Strike 2 van Valve. Een aantal berichten op Reddit en X (ook bekend als Twitter) wordt een beveiligingslek in Counter-Strike 2 besproken. Door het lek konden spelers HTML in hun gebruikersnaam gebruiken om JavaScript uit te voeren en een XSS-aanval uit te voeren op iedereen in dezelfde game lobby.

In eerste instantie leek het erop dat de exploit slechte spelers alleen toegang gaf tot IP-adressen van andere spelers in de lobby, maar later werd onthuld dat code-injectie mogelijk was door gebruik te maken van dezelfde kwetsbaarheid. Vanwege de ernst van de aanval werden spelers door beveiligingsexperts, zoals de mensen op PirateSoftware, geadviseerd om Counter-Strike niet te spelenom Counter-Strike 2 niet te spelen totdat de kwetsbaarheid verholpen is.

Volgens Steam Charts lijkt het beveiligingslek geen invloed te hebben gehad op het aantal spelers, met een gelijktijdig spelersaantal dat nog steeds piekt op ongeveer een miljoen gebruikers in de periode dat de exploit op 11 december openbaar was. Dit is vergeleken met de gebruikelijke dagelijkse piek van ongeveer 1,1 miljoen spelers in de week daarvoor.

Op het moment van schrijven lijkt het erop dat Valve de exploit heeft gepatcht, en discussies online geven aan dat het mogelijk is voor Valve om gemakkelijk te detecteren wie er gebruik heeft gemaakt van het probleem. Dat betekent dat iedereen die misbruik heeft gemaakt van de kwetsbaarheid een VAC-ban tegemoet kan zien.

Koop een Asus ROG Ally bij Best Buy, of koop een 8Bitdo Ultimate Bluetooth Controller met Hall Effect Sensing Joystick en oplaaddock op Amazon.

Please share our article, every link counts!
> Overzichten en testrapporten over laptops en mobieltjes > Nieuws > Nieuws Archief > Nieuws archieven 2023 12 > Counter-Strike 2 exploit maakt kortstondige injectie van kwaadaardige code en IP-grabbing mogelijk voordat ontwikkelaar haastig patch uitbrengt
Julian van der Merwe, 2023-12-12 (Update: 2023-12-12)