Valve исправила баг с возможностью внедрения стороннего HTML-кода в клиент Counter-Strike 2, которым недавно активно злоупотребляли многие пользователи для инъекций изображений в игру (в меню кик-голосования) и даже для получения IP-адресов других игроков во время их нахождения в лобби перед началом матча. Проблема касалась ошибки в работе межсайтового скриптинга (XSS) в CS2, которая позволяла удалённо выполнять специальный скрипт на JavaScript на ПК атакуемого клиента.
В Counter-Strike 2 используется Panorama UI от Valve. Это пользовательский интерфейс, в котором для макетирования дизайна широко используются CSS, HTML и JavaScript. В рамках подготовки макета дизайна разработчики могут настроить поля ввода для приёма HTML, а не превращать его в обычную строку. Если в нужном поле включён HTML, то любой введённый текст будет отображаться на выходе как HTML.
Хотя этой уязвимостью игроки пользовались в основном ради безобидного развлечения, другие геймеры использовали её для получения IP-адресов соперников, участвовавших в матче. Это можно было сделать с помощью тега img для запуска удалённого скрипта с отображением IP-адресов каждого игрока, который мог видеть внедрённую картинку\ссылку при кик-голосовании.
Эксперты считают, что собранные IP-адреса могли быть использованы некоторыми игроками злонамеренно, например, для запуска DDoS-атак с целью заставить соперников отключиться от матча.
Спустя несколько суток после обнаружения этого бага разработчики из Valve убрали возможность внедрения стороннего HTML в Panorama UI, но в то же время отключили любые пользовательские элементы/скрипты для Panorama UI, упакованные в maps. Например, раньше можно было сделать кинорежим с внешним видеоплеером, а теперь это запрещено.
Ранее датамайнер под ником Aquarius обнаружил в Counter-Strike: Global Offensive (CS:GO) баг, который позволяет видеть IP-адреса всех игроков в матче в соревновательном режиме (Competitive mode). Он сообщил о своей находке в Valve. Разработчики пообещали всё проверить и принять меры по этой проблеме. По данным датамайнера, уязвимость позволяла с помощью эксплойта видеть IP-адреса других игроков в разделе Live на вкладке «Смотреть» в GOTV. Баг не работал в других режимах, включая CS2 и FACEIT.
