Seorang aktor ancaman tidak dikenal menciptakan mode permainan berbahaya untuk video game Dota 2 multiplayer online battle arena (MOBA) yang dapat dieksploitasi untuk membuat akses backdoor ke sistem pemain.
Dilacak sebagai CVE-2021-38003 (skor CVSS: 8,8), mode mengeksploitasi kelemahan tingkat tinggi di mesin JavaScript V8 yang dieksploitasi sebagai hari nol dan ditangani oleh Google pada Oktober 2021.
Penerbit game mengirimkan perbaikan pada 12 Januari 2023 dengan meningkatkan versi V8, menyusul pengungkapan bertanggung jawab kepada Valve.
Mode permainan jahat yang ditemukan oleh vendor berhasil lolos dari celah pada saat menerbitkan mode permainan khusus ke toko Steam mencakup proses pemeriksaan dari Valve.
Tertanam di dalam “ttest addon plz ignore” merupakan exploit untuk cacat V8 yang dapat dipersenjatai untuk mengeksekusi kode shell khusus.
Sementara tiga lainnya mengambil pendekatan yang lebih rahasia karena kode berbahaya dirancang untuk menjangkau server jarak jauh untuk mengambil muatan JavaScript di, yang juga kemungkinan akan mengeksploitasi CVE-2021-38003 sejak server tidak lagi dapat dijangkau.
Selengkapnya: The Hacker News
