عنوان رایگان بازی MOBA Dota 2 هنوز هم بسیار محبوب است، حتی اگر در ابتدا تقریباً 10 سال پیش در 9 ژوئیه 2013 منتشر شد. مانند بسیاری از بازی های دیگر، Dota 2 یک ساخت از موتور V8 جاوا اسکریپت ایجاد شده توسط Google برای پروژه Chrome/Chromium. مسئله اساسی در اینجا این است که تا همین اواخر، Valve هنوز از موتور قدیمی V8 استفاده می کرد که در دسامبر 2018 جمع آوری شده بود.
محققان Avast کشف کردند که یک هکر ناشناخته در حال آزمایش یک اکسپلویت بالقوه در برابر CVE-2021-38003 است، یک نقص امنیتی بسیار خطرناک در موتور V8 با درجه شدت 8.8/10. در ابتدا، هکر با انتشار یک حالت بازی سفارشی جدید – راهی برای تغییر تجربه Dota 2 توسط بازیکنان – با یک کد سوء استفاده برای CVE-2021-38003 که در داخل آن تعبیه شده بود، یک آزمایش به ظاهر خوش خیم انجام داد.
در متن: Dota 2 که در سال 2013 منتشر شد، هنوز هم یکی از محبوب ترین تجربه های چند نفره در بین طرفداران MOBA است. و به مدت 15 ماه، میلیون ها بازیکن Dota 2 به طور بالقوه در برابر حملات اجرای کد از راه دور به دلیل بی دقتی Valve آسیب پذیر بودند.
پس از آن، هکر سه حالت بازی دیگر را با استفاده از رویکردی مخفیانهتر با استفاده از یک درب پشتی ساده از «حدود بیست خط کد» منتشر کرد. درپشتی میتواند اسکریپتهای JS دلخواه را که از سرور فرمان و کنترل از طریق HTTP دانلود میشود، اجرا کند. این ترفند هوشمندانه به مهاجم اجازه میدهد تا کد اکسپلویت را مخفی نگه دارد و به راحتی آن را بدون ارائه یک حالت بازی سفارشی جدید برای بررسی و کشف احتمالی، بهروزرسانی کند. به عبارت دیگر، به هکر اجازه می داد تا کد جاوا اسکریپت (و احتمالاً اکسپلویت CVE-2021-38003) را به صورت پویا در پس زمینه اجرا کند.
نسخه بیش از چهار ساله آن با اشکالات امنیتی بالقوه خطرناکی همراه بود. بدتر از آن این است که Dota 2 V8 را با هیچ محافظ جعبه ایمنی اجرا نمی کند. یک بازیگر بد می توانست از این مشکل برای اجرای کدهای مخرب از راه دور علیه بازیکنان Dota سوء استفاده کند. به گفته Avast، این چیزی است که قبل از اینکه Valve سرانجام موتور V8 را به روز کند، اتفاق افتاد.
Valve به خاطر صرف وقت شیرین خود برای ساخت یک بازی جدید Half-Life (در واقع، هر بازی جدید) یا شمارش تا 3 مشهور است. غول توزیع دیجیتال که توسط Gabe Newell یکی از بنیانگذاران آن است، ظاهراً در مورد آسیبپذیریهای امنیتی خطرناک سهلانگیز است و بازیکنان یکی از محبوبترین عناوین خود را در معرض خطر قرار میدهد و به هکرها اجازه میدهد با آزمایشهای مخرب خود دست به کار شوند.