Counter-Strike 2 était victime jusqu’à hier d’un grave bug qui permettait à des acteurs malveillants d’obtenir l’adresse IP des joueurs ayant voté lors d’un vote d’exclusion. La faille était causée par l’interface du votekick qui permettait d’y injecter du code HTML.
Jusqu’à hier, Counter-Strike 2 était affecté par une faille d’injection HTML. Un bug beaucoup plus grave que celui qui vous transformait en Michael Jackson, puisqu’il aurait été largement exploité par des acteurs malveillants pour obtenir les adresses IP d’autres joueurs.
Comment marche cette faille dans Counter-Strike 2 ?
Counter-Strike 2 utilise l’interface utilisateur Panorama de Valve, qui incorpore CSS, HTML et JavaScript pour sa mise en page. Dans cette interface, les développeurs peuvent configurer les champs de saisie de manière à ce qu’ils acceptent du code. Ainsi, Valve avait visiblement oublié d’assainir la partie dédiée au votekick, pour afficher des messages en chaînes de caractères normales.
Ainsi, le vote d’exclusion acceptait le langage HTML, avec pour rendu une sortie sous forme de code. Pour l’exploiter, il suffisait ainsi de modifier son pseudo Steam avec du code HTML qui serait affiché par l’interface de vote. Si la plupart l’ont utilisé pour s’amuser en injectant des images humoristiques, d’autres l’ont utilisé à des fins malveillantes. Voilà qui ne va pas améliorer l’opinion des joueurs sur Counter-Strike 2, qui est le jeu le moins bien noté de Valve.
Bleepingcomputer rapporte ainsi que certains ont pu obtenir les adresses IP des autres joueurs dans le match. Pour ce faire, ils utilisaient une balise img pour ouvrir un script à distance, qui permettait d’enregistrer l’adresse IP de chaque joueur ayant voté pour kicker un joueur.
Ces adresses IP ont pu être utilisées à des fins malveillantes, par exemple pour lancer des attaques DDoS et forcer les joueurs à se déconnecter d’un match. Une tactique de triche qui permet d’éviter d’être banni, contrairement à lorsque vous bougez trop vite votre souris dans Counter-Strike 2.
Hier, Valve publiait en urgence une mise à jour de 7 Mo pour CS2 qui aurait corrigé la vulnérabilité. Désormais, le code HTML saisi en jeu est identifié comme une chaîne de caractères normale dans le chat, comme ci-dessous.
À lire > Counter-Strike 2 : un joueur empoche 132 500 $ en vendant un skin d’AK-47 rarissime
Heureusement, la faille était moins grave qu’initialement rapportée. Certains pensaient qu’il s’agissait d’une faille JavaScript plus grave, permettant d’exécuter des commandes à distance bien plus dangereuses. En 2019, une faille de la sortie avait justement été découverte dans l’interface de Counter-Strike : Global Offensive.
Source : Bleepingcomputer
