Разработчики антивируса Avast сообщили, что обнаружили уязвимость в некоторых пользовательских режимах в Dota 2. Представители компании поделились подробностями в официальном блоге.
Эксплойт мог применяться во время скачивания пользовательских карт. Его использование стало возможным благодаря наличию уязвимостей в движке JavaScript под названием V8. Ошибка считалась исправленной ещё несколько лет назад, однако в Dota 2 использовалась старая версия движка, что позволяло воспользоваться ею.
Представители Avast сообщили, что ими было обнаружено сразу несколько пользовательских режимов, где присутствовал эксплойт. В описании первой карты под названием «test addon plz ignore» сказано, что она создана исключительно для тестирования и скачивать её не нужно. Другие режимы, созданные этим же автором, являются полноценными и доступными для игры. Данные карты удалось найти благодаря скрипту, созданному сотрудникам Avast. Программное обеспечение скачало все коды JavaScript со всех пользовательских режимов для Dota 2, после чего работники компании провели детальный анализ и обнаружили карты с эксплойтом.
Теоретически данная уязвимость позволяла злоумышленнику получить полный контроль над компьютером жертвы после скачивания карты. По словам сотрудников Avast, они не сумели установить конечную цель автора карт, но не сомневаются в его негативных намерениях, так как он вовремя не сообщил Valve об обнаруженной уязвимости. Представители компании связались с разработчиками Dota 2 и ошибка была исправлена в обновлении от 11 января.