Counter Strike 2’nin geliştiricisi Valve’ın yeni CS2 açığıyla ilgili söylentilere yanıt vermesi bekleniyor. Bu arada dikkatli olun ve bilinmeyen gönderenlerden gelen şüpheli bağlantılara dikkat edin.
Yakın zamanda ortaya çıkarılan bir CS2 istismarı (görünüşe göre bir XSS güvenlik açığı) oyun camiasında endişelere yol açarak oyuncu güvenliğine yönelik potansiyel bir tehdit oluşturdu. Bu istismarın, GIF’leri görüntülemek için oyun içindeki HTML kod bloklarını kullandığı ve oyuncuları riske attığı bildiriliyor.
Bunun etkileri geniş bir oyuncu yelpazesine uzanıyor, hatta sık sık çevrimiçi oyun oynamaya daha az eğilimli olanlar bile. Başlangıçta Steam ID’lerini deneyen oyuncular tarafından keşfedilen bu istismar, NSFW GIF’lerini oyun içi menü aracılığıyla diğer oyunculara göstermelerine olanak tanıdı.
23.000’den fazla YouTube abonesine sahip bir CS2 yaratıcısı olan Ozzny de dahil olmak üzere oyun topluluğunun önemli isimleri, bu aksaklıktan yararlananların oyuncuların IP adreslerine erişebileceğini doğruladı.
Açıktan yararlanmanın oyuncuların bilgisayarlarında kod çalıştırma potansiyeline ilişkin endişelerin artmasıyla birlikte Ozzny ve diğer uzmanlar, açıktan yararlanma düzeltilinceye kadar CS2 oyunundan kaçınılmasını şiddetle tavsiye ediyor.
ŞU ANDA CS2’DE BÜYÜK GÜVENLİK KULLANIMI⚠️
Bu görüntü son birkaç saattir reddit’te dolaşıyor (çok açık, belli nedenlerden dolayı bulanık). İnsanlar bunun sahte olduğunu söylüyordu ama değil.
Görünüşe göre CS2’nin içinde Steam adlarıyla ilgili bir güvenlik açığı var, bu da… pic.twitter.com/lcQqsAB5Ba
— Ozzny (@Ozzny_CS2) 11 Aralık 2023
“Görünüşe göre CS2’de Steam adlarında bir güvenlik zafiyeti var ve bu da insanların oyun içindeki görselleri bir görsele bağlantı veren basit bir HTML koduyla değiştirmesine olanak tanıyor. Ancak bu değil, aynı zamanda bir IP Logger’ın yardımıyla bu yöntemi kullanarak sunucudaki HERKESİN IP’lerini de alabilirsiniz. (Çok fazla göstermeyeceğim ya da bariz sebeplerden dolayı nasıl yapıldığını açıklamayacağım, ancak bu çok kolay),” diye tweet attı Ozzny.
Amerikalı siber güvenlik araştırmacısı ve oyun geliştiricisi Jason Thor Hall, bir Twitch videosunda XSS güvenlik açığını vurguladı ve geliştirici Valve bu sorunu çözene kadar oyuncuları CS2’den uzak durmaya çağırdı.
Eğer sadece benim sözüme güvenmek istemiyorsanız, işte bu konuyu doğrulayan gerçek bir uzmanın görüşü:
(📽️ @PirateSoftware) pic.twitter.com/zm67088kMj
— Ozzny (@Ozzny_CS2) 11 Aralık 2023
Kod yürütmenin fizibilitesi belirsizliğini korusa da, algılanan risk büyüktür ve bu da temkinli bir yaklaşıma yol açmaktadır. Oyuncuların, istismar yamalanana veya Vavle’den izin alınana kadar CS2 oyununu askıya almaları şiddetle tavsiye edilir. Durumun hızlı bir şekilde ele alınması ve kısa sürede bir düzeltme yapılması bekleniyor.
Bir ihtiyati tedbir olarak, oyun içi kullanıcı adı HTML bloğuna benzeyen bir oyuncuyla karşılaşan kullanıcıların dikkatli olmaları ve etkileşimden kaçınmaları tavsiye edilir. Steam hesaplarının güvenliği bu dikkatliliğe bağlıdır. Durum geliştikçe güncellemeler sağlanacaktır.
Oynamak kaçınılmaz hale gelirse, şüpheli bağlantılara tıklamaktan veya bilinmeyen gönderenlerden gelen ekleri açmaktan kaçınmak gibi olası tehlikelere karşı dikkatli olmak çok önemlidir.
XXS güvenlik açığı tam olarak nedir?
Siteler arası komut dosyası çalıştırma (XSS), genellikle web uygulamalarında bulunan bir tür bilgisayar güvenlik açığıdır. Kötü niyetli bir kullanıcının, diğer kullanıcılar tarafından görüntülenen bir web sayfasına istemci tarafı komut dosyaları eklemesine olanak tanır.
Kötü amaçlı kod daha sonra kullanıcı verilerini çalmak, kullanıcı oturumlarını ele geçirmek veya kullanıcıları kötü amaçlı web sitelerine yönlendirmek için kullanılabilir. XSS’nin nasıl çalıştığına dair basitleştirilmiş bir açıklama:
- Bir kullanıcı XSS güvenlik açığı içeren bir web sayfasını ziyaret eder.
- Güvenlik açığı bulunan web sayfası, kullanıcıdan gelen yorum veya forum gönderisi gibi girdileri kabul eder.
- Kullanıcının girişi, web sayfasında görüntülenmeden önce uygun şekilde arındırılmaz veya doğrulanmaz.
- Kötü amaçlı kod web sayfasına enjekte edilir ve kullanıcının tarayıcısında yürütülür.
Steam Topluluğu’nda devam eden bu sorunla ilgili bir tartışma var. Bu hikaye ilerledikçe daha fazla güncelleme için bizi izlemeye devam edin.
İLGİLİ MAKALELER
- Minecraft en çok kötü amaçlı yazılım bulaşan oyun ilan edildi
- Bilgisayar korsanları GTA Online PC Oyununu uzaktan kesintiye uğratıyor
- Counter-Strike 1.6 oyun istemcisi Belonard truva atından 0 gün boyunca yararlanıldı
- Oyuncular Dikkat: Dolandırıcılar Oyuncuları Hedef Almak İçin SeroXen RAT’a Güveniyor
- Sahte ROBLOX ve Nintendo oyunu, ChromeLoader kötü amaçlı yazılımını düşürüyor