One Up Security
Фахівці компанії One Up Security виявили в іграх на движку Source вразливість, що дозволяє зловмисникам завантажувати і виконувати на комп'ютерах інших гравців довільний код. Вона була знайдена в інструменті, що дозволяє гравцям завантажувати в гру різні модифікації, наприклад карти або анімації. Компанія Valve вже випустила патч, що усуває вразливість. Коротко про це повідомляє видання The Verge, докладний опис механізму злому є на сайті компанії.
Іноді хакери використовують незвичайні схеми для злому. Наприклад, недавно для цього використовували субтитри. які деякі медіаплеєри автоматично завантажують з інтернету. Тепер фахівці з інформаційної безпеки вирішили дослідити на предмет вразливостей комп'ютерні ігри.
В One Up Security вивчали ігровий движок Source від компанії Valve. На ньому побудовано безліч популярних ігор компанії, такі як Counter-Strike і Half-Life. Багато ігор на цьому движку підтримують Source SDK - інструмент, що дозволяє модифікувати гри, завантажуючи в них змінені текстури, карти і анімації. Якщо на сервері гри, до якого підключається користувач, використовуються такі модифікації, вони завантажуються на його комп'ютер.
З'ясувалося, що в такі модифікації можна вбудувати і шкідливий код, який буде виконуватися на комп'ютері жертви. Фахівці створили спеціальну Ragdoll-анімацію смерті гравця, яка крім безпосередньо анімації включала в себе і шкідливу програму. Таким чином, коли гравця вбивали, разом з анімацією запускалася і програма, що дає зловмисникам доступ до комп'ютера.
Уразливість була продемонстрована на комп'ютері під керуванням Windows. Про те, чи можна її використовувати на інших операційних системах, підтримуваних іграми Valve, не повідомляється. One Up Security заздалегідь повідомила Valve про знайдену уразливість, і за їхніми словами, патч був випущений протягом одного дня.