Casa > Ciber Noticias > CVE-2020-6016: Defectos críticos en la biblioteca de redes Steam Core de Valve
CYBER NOTICIAS

CVE-2020-6016: Defectos críticos en la biblioteca de redes Steam Core de Valve

jugadores en línea jugandoLos investigadores de seguridad informaron de varias fallas críticas en una biblioteca de red central que impulsa los juegos en línea de Valve. Las fallas podrían haber permitido a los actores de amenazas bloquear juegos y obtener control sobre servidores de juegos de terceros de forma remota. Check Point descubrió las vulnerabilidades.

Ante todo, que es Valve? Valve es un conocido desarrollador y editor de videojuegos con sede en EE. UU. De Steam y juegos como Counter-Strike., Día de derrota, Media vida, Team Fortress, Izquierda 4 Muerto, y Dota.

Varias fallas críticas en la biblioteca de sockets para redes de juegos de Valve

Durante la investigación, el equipo descubrió varias vulnerabilidades en la implementación de la biblioteca Game Networking Sockets. Los escenarios de ataque basados ​​en los problemas son bastante versátiles..




“Por ejemplo, al jugar contra un oponente en línea, un atacante puede bloquear de forma remota el cliente de juego del oponente para forzar una victoria; bajo algunas condiciones, incluso pueden realizar un “dejar de fumar rabia nuclear” y bloquear el servidor de juegos de Valve, asegurándose de que nadie pueda jugar,” Check Point explicó.

En caso de que alguien esté jugando con un desarrollador de juegos de terceros, Los atacantes pueden incluso hacerse cargo del servidor del juego de forma remota para ejecutar la ejecución de código arbitrario.. Una vez que se obtiene el control del servidor, el mismo defecto se puede explotar de nuevo para hacerse cargo de todos los jugadores conectados.

Así, Cuáles son las vulnerabilidades que permiten estos ataques? El equipo de investigación descubrió cuatro diferentes:

  • CVE-2020-6016
  • CVE-2020-6017
  • CVE-2020-6018
  • CVE-2020-6019

CVE-2020-6016

El más intrigante de la lista es CVE-2020-6016, como requiere “conocimiento de temas esotéricos.” Este conocimiento incluye “los detalles del buscador del estándar C ++ y la implementación del compilador GNUC. “En un momento crucial, cuando el plan de ataque parecía perdido, pudimos montar en un truco inteligente utilizado por C ++ para permitir un uso más ergonómico de los iteradores,” Check Pint agregado en su informe.

De acuerdo con la descripción oficial, CVE-2020-6016 es una vulnerabilidad de subdesbordamiento de búfer basado en montón que podría provocar daños en la memoria y RCE:

Los enchufes para redes de juegos de Valve antes de la versión v1.2.0 manejan de manera incorrecta los segmentos no confiables con compensaciones negativas en la función SNP_ReceiveUnreliableSegment(), lo que lleva a un subdesbordamiento de búfer basado en montón y un() de memoria no del montón, resultando en una corrupción de la memoria y probablemente incluso una ejecución remota de código.

Afortunadamente para los juegos, ya se ha acuñado una solución. En otras palabras, si eres uno de los innumerables jugadores que juegan a los juegos de Valve a través de Steam, ya estas protegido. Sin embargo, si está jugando juegos de terceros, es posible que deba esperar unos meses, ya que los clientes del juego deben actualizar de forma independiente para mitigar los posibles ataques.

Si está interesado en una perspectiva más técnica sobre las vulnerabilidades, usted debe leer Análisis bastante detallado de Check Point.


En 2018, El investigador de seguridad Artem Moskowsky descubrió una peligrosa vulnerabilidad de la válvula Permitir que los usuarios malintencionados revelen las claves de licencia del contenido disponible en la tienda.. Esto significa que todos los juegos o software de computadora pueden adquirirse. El problema se encontraba en el portal de desarrolladores de Steam, que podría aprovecharse para revelar las claves de licencia del contenido publicado en la plataforma..

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo