一位安全研究人员在 Valve 的游戏引擎中发现了一个“严重”漏洞，当前热门的《反恐精英》线上游戏也受到了波及。尽管早在 2019 年 6 月就发出了警告，但遗憾的是，作为 Source Engine 和《CS：Go》、《Team Fortress 2》等游戏的制造商，该公司的修复速度实在太慢。

视频截图（来自：Secret Club / YouTube）

Motherboard 报道称，黑客已能够通过诱骗不知情的玩家点击 Steam 游戏邀请，实现对受害者计算机的控制。

安全研究人员 Florian 指出，尽管可导致受害者计算机被攻击者完全控制的 Source Engine 漏洞已在部分游戏中得到了修复，但同样的问题仍存在于《CS：Go》中。

Source Engine RCE exploit triggered via steam invite（via）

Valve 与 Florian 在漏洞赏金平台 HackerOne 上有所往来，且承认对这个“严重”漏洞的处理响应有点慢。

然而最让 Florian 感到失望的是，Valve 大部分时间都没有去搭理他。直到数月后有另一位研究人员也发现了同样的 Bug，并将之与原始报告合并。

虽然 Valve 方面没有回应此事，但据 Florian 的预估，其编写的这份漏洞利用代码，有高达 80% 的几率实现有效利用。据其所述，黑客能够利用此漏洞，并像蠕虫一样传播。

一旦你顺利感染了某位受害者的机器，便可将之“武器化”，以感染受害者的其他游戏好友。庆幸的是，目前除了《CS：Go》，Valve 似乎已经修复了其它游戏中的这个 Bug 。

不过这也不是我们首次见到 Valve 的这项“传统艺能”。比如 2018 年的时候，就有一位安全研究人员在 Steam 中发现了一个允许攻击者接管受害者计算机、且存在已经长达 10 年的漏洞。

此外 2019 年的时候，Valve 限制了某位安全研究人员的漏洞奖赏，迫使其选择了公开披露该零日漏洞利用程序。