一位安全研究人員在Valve的遊戲引擎中發現了一個“嚴重”漏洞，當前熱門的《反恐精英》線上游戲也受到了波及。儘管早在2019年6月就發出了警告，但遺憾的是，作為Source Engine和《CS：Go》、《Team Fortress 2》等遊戲的製造商，該公司的修復速度實在太慢。

視頻截圖（來自：Secret Club / YouTube）

Motherboard 報導稱，黑客已能夠通過誘騙不知情的玩家點擊Steam 遊戲邀請，實現對受害者計算機的控制。

安全研究人員Florian 指出，儘管可導致受害者計算機被攻擊者完全控制的Source Engine 漏洞已在部分遊戲中得到了修復，但同樣的問題仍存在於《CS：Go》中。

Source Engine RCE exploit triggered via steam invite（via）

Valve 與Florian 在漏洞賞金平台HackerOne 上有所往來，且承認對這個“嚴重”漏洞的處理響應有點慢。

然而最讓Florian 感到失望的是，Valve 大部分時間都沒有去搭理他。直到數月後有另一位研究人員也發現了同樣的Bug，並將之與原始報告合併。

雖然Valve 方面沒有回應此事，但據Florian 的預估，其編寫的這份漏洞利用代碼，有高達80% 的機率實現有效利用。據其所述，黑客能夠利用此漏洞，並像蠕蟲一樣傳播。

一旦你順利感染了某位受害者的機器，便可將之“武器化”，以感染受害者的其他遊戲好友。慶幸的是，目前除了《CS：Go》，Valve 似乎已經修復了其它遊戲中的這個Bug 。

不過這也不是我們首次見到Valve 的這項“傳統藝能”。比如2018 年的時候，就有一位安全研究人員在Steam 中發現了一個允許攻擊者接管受害者計算機、且存在已經長達10 年的漏洞。

此外2019 年的時候，Valve 限制了某位安全研究人員的漏洞獎賞，迫使其選擇了公開披露該零日漏洞利用程序。