近日，世界上最为流行的FPS游戏之一《反恐精英2（Counter-Strike 2）》被爆存在漏洞，引发了游戏社区的关注。该漏洞使得恶意玩家能够在游戏中插入图片，并泄露游戏玩家们的IP地址。

这一问题最初被怀疑是潜在的严重跨站脚本（XSS）漏洞，后来被确认为HTML注入漏洞。该漏洞要从游戏开发商Valve公司的Panorama UI说起。Panorama UI负责《反恐精英2》用户界面的布局和设计，该UI框架与现代网页设计的HTML/CSS/JavaScript相像。

漏洞源于Panorama UI的设计未对输入字段进行充分的消毒，使其可以接受HTML。这种输入通常是应该被禁止的，因为运行不受信任的程序存在安全风险。由于这一漏洞的存在，用户能够注入HTML代码，而这些代码会被输出为HTML而不是纯文本。

攻击者利用这一漏洞，通过在踢人投票面板中插入HTML代码（通常是图像元素<img>），获得了向游戏中添加外部内容（如脚本或图形）的能力。这个问题往轻了说，影响可能仅是在游戏中插入了一些恶搞图片。

但与此同时，还存在着其他危害，例如，恶意用户能够通过<img>元素触发一个远程IP记录脚本。当其他玩家查看投票踢人面板时，他们的IP地址会在不知情的情况下被记录。这些IP地址可能被用于发动分布式拒绝服务（DDoS）攻击，通过向目标网络发送大量流量，破坏网络服务并使玩家断开比赛连接。

据了解，Valve公司已经通过发布一个7MB的更新补丁来解决这一问题，该更新清理了任何HTML输入，并将其转换为纯文本，以防止滥用。

编辑：左右里

资讯来源：waxpeer

转载请注明出处和本文链接