Un exploit de Counter-Strike 2 permite brevemente la inyección de código malicioso y la apropiación de IP antes de que el desarrollador publique apresuradamente un parche

Los meses que siguen al lanzamiento de un nuevo juego son duros para cualquier desarrollador -especialmente para un juego en línea-, pero no es habitual que los desarrolladores se enfrenten a vulnerabilidades de seguridad en sus juegos que podrían causar graves problemas a sus jugadores.

Esto parece ser exactamente lo que ha ocurrido con Counter-Strike 2 de Valve esta semana. Una serie de mensajes en Reddit y X (también conocido como Twitter) hablan de una vulnerabilidad de seguridad en Counter-Strike 2. La vulnerabilidad permitía a los jugadores utilizar HTML en su nombre de usuario para ejecutar JavaScript y ejecutar un ataque XSS contra cualquiera que estuviera en el mismo vestíbulo de la partida.

Al principio, parecía que el exploit sólo permitía a los malos actores acceder a las direcciones IP de otros jugadores en el vestíbulo, pero más tarde se reveló que la inyección de código era posible utilizando la misma vulnerabilidad. Debido a la gravedad del ataque, los expertos en seguridad, como la gente de PirateSoftware, aconsejaron a los jugadores que evitaran jugar a Counter-Strike, que evitaran jugar a Counter-Strike 2 hasta que se solucionara la vulnerabilidad.

Según Steam Charts, la vulnerabilidad de seguridad parece no haber afectado al recuento de jugadores, ya que el recuento de jugadores concurrentes siguió alcanzando picos de alrededor de un millón de usuarios durante el periodo en que el exploit fue público, el 11 de diciembre. Esto se compara con el pico diario habitual de alrededor de 1,1 millones de jugadores para la semana anterior.

En el momento de escribir estas líneas, parece que Valve ha parcheado el exploit, y las discusiones en línea indican que puede ser posible que Valve detecte fácilmente quién se aprovechó del problema. Eso significa que cualquiera que se haya aprovechado de la vulnerabilidad podría ser objeto de una prohibición VAC.

Compre un Asus ROG Ally en Best Buy, o hágase con un 8Bitdo Ultimate Bluetooth Controller with Hall Effect Sensing Joystick and Charging Dock en Amazon.