Η Valve φέρεται να έχει επιδιορθώσει ένα ελάττωμα ένεσης HTML στο CS2, το οποίο χρησιμοποιήθηκε σε μεγάλο βαθμό σήμερα για την εισαγωγή εικόνων σε παιχνίδια και την απόκτηση διευθύνσεων IP άλλων παικτών.
Αν και αρχικά θεωρήθηκε ότι ήταν ένα πιο σοβαρό ελάττωμα Cross Site Scripting (XSS), το οποίο επιτρέπει την εκτέλεση κώδικα JavaScript σε έναν πελάτη, το σφάλμα καθορίστηκε μόνο ως ελάττωμα εισαγωγής HTML, που επιτρέπει την εισαγωγή εικόνων.
Το Counter-Strike 2 χρησιμοποιεί το Panorama UI της Valve, μια διεπαφή χρήστη που ενσωματώνει σε μεγάλο βαθμό CSS, HTML και JavaScript για διάταξη σχεδίασης.
Ως μέρος της διάταξης σχεδίασης, οι προγραμματιστές μπορούν να διαμορφώσουν τα πεδία εισαγωγής ώστε να αποδέχονται HTML αντί να το απολυμάνουν σε μια κανονική συμβολοσειρά. Εάν το πεδίο ενεργοποιούσε την HTML, οποιοδήποτε εισαγόμενο κείμενο θα αποδίδεται στην έξοδο ως HTML.
Σήμερα, χρήστες Counter-Strike άρχισε να αναφέρει ότι οι χρήστες έκαναν κατάχρηση ενός ελαττώματος ένεσης HTML για να εισάγουν εικόνες στον πίνακα ψηφοφορίας kick.
Ενώ το ελάττωμα χρησιμοποιήθηκε κυρίως για αβλαβή διασκέδαση, άλλοι το χρησιμοποίησαν για να αποκτήσουν τις διευθύνσεις IP άλλων παικτών στον αγώνα.
Αυτό έγινε χρησιμοποιώντας την ετικέτα για να ανοίξει ένα απομακρυσμένο σενάριο καταγραφής IP που προκάλεσε την καταγραφή της διεύθυνσης IP για κάθε παίκτη που είδε την ψηφοφορία.
Αυτές οι διευθύνσεις IP θα μπορούσαν να χρησιμοποιηθούν κακόβουλα, όπως η εκτόξευση επιθέσεων DDoS για να αναγκάσουν τους παίκτες να αποσυνδεθούν από τον αγώνα.
Σήμερα το απόγευμα, η Valve κυκλοφόρησε μια μικρή ενημέρωση 7 MB που φέρεται να διορθώνει την ευπάθεια και προκαλεί την απολύμανση τυχόν εισαγόμενων HTML σε μια κανονική συμβολοσειρά.
Για παράδειγμα, μόλις εγκατασταθεί η ενημέρωση κώδικα, αντί να αποδίδεται η ένεση HTML από τη διεπαφή χρήστη, θα εμφανίζεται απλώς ως συμβολοσειρά, όπως φαίνεται παρακάτω.
Το BleepingComputer επικοινώνησε με τη Valve για να επιβεβαιώσει εάν αυτή η ενημέρωση διόρθωσε το exploit αλλά δεν έλαβε απάντηση.
Το 2019, μια παρόμοια, αλλά πιο σοβαρή, βρέθηκε σφάλμα στο Counter-Strike: Global Offensive’s Panorama UI που επέτρεπε την εισαγωγή HTML μέσω της δυνατότητας kick.
Ωστόσο, στη συγκεκριμένη περίπτωση, θα μπορούσε επίσης να χρησιμοποιηθεί για την εκκίνηση JavaScript, με αποτέλεσμα να είναι μια πολύ πιο κρίσιμη ευπάθεια XSS που θα μπορούσε να χρησιμοποιηθεί για την εκτέλεση εντολών από απόσταση.