Experti z bezpečnostní firmy Check Point Research odhalili čtyři zranitelnosti v síťové knihovně Game Networking Sockets (GNS). Ta je součástí síťového pluginu, který Valve nabízí herním studiím. Dle zjištění bylo možné nedostatky zneužít ke vzdálenému shození her Counter-Strike: Global Offensive, Dota 2 a dalších titulů, které spoléhají na tuto knihovnu.
Obzvláště nebezpečné bylo, že v některých případech mohly objevené chyby zabezpečení umožnit vzdálené převzetí počítače. Odborníci také našli chybu zabezpečení, která mohla hackerům dovolit převzít celý herní server, spustit libovolný kód a unést všechny k němu připojené počítače.
Děravý Steam
„V případě zneužití by útočník mohl ovládnout stovky tisíc počítačů, aniž by hráči museli otevírat škodlivý e-mail nebo klikat na odkaz. Na rozdíl od jiných zranitelností by se stali obětí nevědomky, pouhým přihlášením do hry.“ uvádí Check Point.
Bezpečnostní nedostatek potenciálně umožňoval útočníkům převzít kontrolu nad počítačem, který je připojen k hernímu serveru třetí strany. Podle statistik Steamu se problém mohl dotknout stovek tisíc hráčů denně. Steam je totiž největší digitální distribuční platformou pro hraní počítačových her – v roce 2019 nabízel více než 34 000 her a měl 95 milionů aktivních uživatelů měsíčně.
Díry zalepeny!
Check Point v září informoval o zjištěných problémech společnost Valve. Ta o tři týdny později aktualizovala inkriminovanou komponentu a všechny své hry. Současně s tím předala informaci vývojářům třetích stran, aby provedli příslušná opatření.
Nahlášeny a opraveny byly následující chyby:
- CVE-2020-6016 - podtečení paměti v rámci Game Networking Sockets má za následek narušení paměti a pravděpodobně i vzdálené spuštění kódu.
- CVE-2020-6017 - přeplnění vyrovnávací paměti s možností vzdáleného spuštění kódu.
- CVE-2020-6018 - nesprávné zpracování dlouhých šifrovaných zpráv.
- CVE-2020-6019 - nesprávné zpracování zpráv ve funkci CConnectionTransportUDPBase::Received_Data() může mít za následek zhroucení aplikace.
Jestliže používáte Steam k hraní her Counter-Strike: Global Offensive, Dota 2 a dalších titulů od vývojářského studia Valve Software, nemusíte k ochraně svého PC podnikat žádné další kroky. Hry by měly být aktualizované a bezpečné.
Pokud jde o hry třetích stran, Check Point doporučuje zkontrolovat, zda byly nedávno aktualizovány. „Věnujte zvláštní pozornost každé hře stažené před 4. zářím 2020, protože to je datum, kdy společnost Valve opravila knihovnu.“
