Des modes personnalisés créés sur DOTA 2 et exploitant une faille qui soulève un danger de sécurité ont été découverts.
La faille de haute sévérité en question se trouve sur la V8 de JavaScript, ce qui offre potentiellement un accès à distance aux joueuses et joueurs qui utilisent les modes de jeu concernés.
Pirate DOTO
Les modes créés par la communauté sur DOTA 2 sont monnaie courante. Certains sont même devenus si populaires qu'ils ont donné naissance à de nouveaux types de jeu, comme Auto Chess, depuis largement repris ailleurs. Malheureusement, certains modes n'ont pas d'intentions aussi louables.
C'est notamment le cas de plusieurs modes créés par un utilisateur de Steam et publié sur le Workshop. D'ordinaire, Valve analyse de telles créations avant leur publication pour s'assurer qu'elles ne présentent aucun danger. Or, les modes en question semblent avoir réussi à passer entre les mailles du filet.
Ils portent des noms rocambolesques comme « test addon plz ignore », « Overdog no annoying heroes », « Custom Hero Brawl », ou encore « Overthrow RTZ Edition X10 XP ». Chacun a été établi comme exploitant la faille de JavaScript V8.
Une menace dormante
Ainsi, les joueuses et joueurs de DOTA 2 qui ont rejoint les modes précités exposaient potentiellement leur ordinateur à un accès à distance par leur créateur. Celui-ci pourrait ainsi installer d'autres malwares ou portes dérobées pour revenir exploiter la machine infectée à l'envi.
La menace est cependant à tempérer. Quand bien même le créateur des modes n'a malicieusement pas jugé bon d'avertir Valve de cette faille, un correctif a été appliqué le mois dernier, et les modes suspects ont été supprimés.
Au vu de la portée minime des modes litigieux, leur créateur s'en est en toute vraisemblance servi dans un but de recherche. Son objectif, aussi malhonnête qu'il soit, ne paraissait pas être d'infecter des ordinateurs à tour de bras, surtout avec des modes aussi obscurs. Mais la porte est en tout cas potentiellement ouverte à d'autres exploitations de ce type, même si la faille qui nous intéresse ici a été corrigée, et les modes dangereux, mis hors d'état de nuire.
- Un service indispensable à tout joueur PC
- Un côté réseau social plaisant
- Chat vocal qui fait le travail
Steam est incontestablement l'un des logiciels indispensables à tout joueur sur PC. Leader dans le domaine de la vente de jeux dématérialisés, la plateforme de Valve permet par ailleurs à ses utilisateurs de profiter de fonctionnalités devenues inhérentes à la pratique du jeu vidéo en ligne, parmi lesquelles un chat vocal et écrit. Autrement dit, Steam permet de tout réunir en un logiciel : l’aspect social et communication entre amis, mais aussi la procuration directe des jeux. Un tout-en-un qui a réussi à Valve depuis presque une dizaine d’années.
Steam est incontestablement l'un des logiciels indispensables à tout joueur sur PC. Leader dans le domaine de la vente de jeux dématérialisés, la plateforme de Valve permet par ailleurs à ses utilisateurs de profiter de fonctionnalités devenues inhérentes à la pratique du jeu vidéo en ligne, parmi lesquelles un chat vocal et écrit. Autrement dit, Steam permet de tout réunir en un logiciel : l’aspect social et communication entre amis, mais aussi la procuration directe des jeux. Un tout-en-un qui a réussi à Valve depuis presque une dizaine d’années.
Source : Decoded.avast.io
