一位安全研究人員在 Valve 的遊戲引擎中發現了一個“嚴重”漏洞，當前熱門的《反恐精英》線上遊戲也受到了波及。

儘管早在 2019 年 6 月就發出了警告，但遺憾的是，作為 Source Engine 和《CS：Go》、《Team Fortress 2》等遊戲的製造商，該公司的修復速度實在太慢。

影片截圖（來自：Secret Club / YouTube）

Motherboard 報道稱，駭客已能夠透過誘騙不知情的玩家點選 Steam 遊戲邀請，實現對受害者計算機的控制。

安全研究人員 Florian 指出，儘管可導致受害者計算機被攻擊者完全控制的 Source Engine 漏洞已在部分遊戲中得到了修復，但同樣的問題仍存在於《CS：Go》中。

Source Engine RCE exploit triggered via steam invite（via）

Valve 與 Florian 在漏洞賞金平臺 HackerOne 上有所往來，且承認對這個“嚴重”漏洞的處理響應有點慢。

然而最讓 Florian 感到失望的是，Valve 大部分時間都沒有去搭理他。直到數月後有另一位研究人員也發現了同樣的 Bug，並將之與原始報告合併。

雖然 Valve 方面沒有迴應此事，但據 Florian 的預估，其編寫的這份漏洞利用程式碼，有高達 80% 的機率實現有效利用。據其所述，駭客能夠利用此漏洞，並像蠕蟲一樣傳播。

一旦你順利感染了某位受害者的機器，便可將之“武器化”，以感染受害者的其他遊戲好友。慶幸的是，目前除了《CS：Go》，Valve 似乎已經修復了其它遊戲中的這個 Bug 。

不過這也不是我們首次見到 Valve 的這項“傳統藝能”。比如 2018 年的時候，就有一位安全研究人員在 Steam 中發現了一個允許攻擊者接管受害者計算機、且存在已經長達 10 年的漏洞。

此外 2019 年的時候，Valve 限制了某位安全研究人員的漏洞獎賞，迫使其選擇了公開披露該零日漏洞利用程式。