В библиотеке Valve Source SDK выявлена уязвимость, дающая возможность выполнять произвольный код на компьютерах пользователей, которые приобрели игры от компании Valve, а также устанавливать различные вредоносные программы.
Причиной существования проблемы является открытость продуктов, которые Valve предлагает пользователям. Во множестве игр на движке Source используется библиотека Source SDK, которая дает сторонним компаниям и независимым разработчикам возможность осуществлять загрузку различных текстур, эффектов и анимаций.
По словам эксперта компании One Up Security Джастина Тафта, есть несколько сценариев атаки с использованием уязвимости. Так, хакер может создать вредоносную модель анимации смерти персонажа, добавив в этот файл инструмент для использования уязвимости. При подключении пользователя к сторонним серверам, находящимся под управлением хакера, на компьютер жертвы осуществляется загрузка вредоносных ресурсов. Когда персонаж в игре умирает, запускается выполнение вредоносного кода.
Эксперты One Up Security сообщили Valve об уязвимости. Сотрудники компании уже устранили проблему в своих играх.
