El investigador privado Justin Taft (@JustTaft), perteneciente a la firma One Up Security, ha demostrado recientemente que el motor de juegos Source de la empresa Valve se veía afectado por una ejecución remota de código que ha sido finalmente solucionada.

Source es el motor oficial de videojuegos utilizado por Valve para sus diferentes títulos, como Counter Strike:GO, Teamfortress 2, Half-Life 2: Deathmatch, etc… y también usado por terceros de manera gratuita, para el desarrollo de mods propios.

La vulnerabilidad se debe a una falta de comprobación de límites en la función ‘nexttoken’, al no controlar correctamente que el buffer ‘token’ pueda desbordarse. Este desbordamiento (buffer overflow) podría ser aprovechado como se puede ver en el video publicado, para ejecutar código arbitrario, ya que la función afectada es llamada por un una clase (CRagdollCollisionRulesParse) encargado de cargar datos externos de modelos Ragdoll cuando se realizan determinados eventos, por ejemplo cuando un jugador es eliminado.

Recomendación

Más información:

Fuente: Hispasec

Anuncios