В библиотеке Valve Source SDK обнаружена уязвимость, позволяющая выполнить произвольный код на компьютере пользователей, играющих в релизы от Valve, а также установить различное вредоносное ПО (трояны-вымогатели, банковские трояны, майнеры криптовалют и т.д.).
Проблема возникла из-за открытости инструментария, который Valve предоставляет пользователям. Многие игры на движке Source используют библиотеку Source SDK, позволяющую сторонним компаниям и независимым разработчикам загружать в игры различные сторонние текстуры, эффекты и анимации смерти.
Как отметил исследователь из компании One Up Security Джастин Тафт (Justin Taft), обративший внимание на проблему, сценариев атаки может быть несколько. Один из них выглядит следующим образом: злоумышленник создает вредоносную ragdoll-модель (анимация смерти персонажа), внедрив в файл эксплоит. Когда пользователь подключается к сторонним серверам, управляемым хакером, на его компьютер загружаются вредоносные ресурсы и при смерти его персонажа в игре исполняется вредоносный код.
Специалисты One Up Security проинформировали Valve об уязвимости и та уже устранила проблему в ряде игр, включая Counter-Strike: Global Offensive, Team Fortress 2, Left 4 Dead 2, Portal 2 и Half-Life 2: Deathmatch.
Source SDK — набор утилит для создания модификаций на движке Source, бесплатно доступный через Steam игрокам.
Steam — сервис цифрового распространения компьютерных игр и программ, принадлежащий компании Valve. Steam выполняет функции службы активации, загрузки через Интернет, автоматических обновлений и новостей для игр как самой Valve, так и сторонних разработчиков по соглашению с Valve.

Источник: securitylab.ru