Разработчики антивируса Avast отчитались о работе, которая привела к удалению опасной уязвимости из Dota 2. Подробностями они поделились в официальном блоге.
Эксплойт мог применяться во время скачивания пользовательских режимов. Он использовал уязвимость движка JavaScript под названием V8. Проблема считалась исправленной несколько лет назад, однако Valve использовала старую версию движка в Dota 2, из-за чего злоумышленники могли применить лазейку.
Сотрудники Avast обнаружили сразу несколько режимов, в которых присутствовал вредоносный код. В описании первого было сказано, что карта нужна только для тестирования и игрокам не стоит её скачивать. Другие же, созданные этим же автором, были полноценными и готовыми режимами. Эти карты были найдены благодаря скрипту, который разработчики Avast создали сами. Программа скачала все коды JavaScript со всех пользовательских режимов для Dota 2, и после этого специалисты компании провели детальный анализ загруженных данных.
В теории уязвимость позволяла злоумышленнику установить полный контроль над компьютером жертвы после загрузки бэкдора. Грубо говоря, хакер имел возможность изменять код JavaScript и выполнять его на ПК пользователя без его ведома. По словам представителей Avast, они так и не смогли установить конечную цель злоумышленника, однако они не сомневаются, что он руководствовался плохими намерениями, так как вовремя не сообщил Valve об обнаруженной уязвимости. Специалисты Avast связались с разработчиками Dota 2, и в обновлении от 11 января проблема была исправлена.