Według ostatnich badań istniały cztery sposoby wykorzystania luki w zabezpieczeniach gry Dota 2, która nie została naprawiona przez 15 miesięcy pomimo dostępności odpowiedniej łatki. Luka, oznaczona jako CVE-2021-38003 (z oceną krytyczności 8.8), była obecna w silniku JavaScript V8, który jest używany w Dota 2 i rozwijany przez Google. Pomimo tego, że Google naprawiło lukę w październiku 2021 r., Valve, twórcy gry, nie zaktualizowali swojego oprogramowania, aby uwzględnić poprawiony silnik V8 aż do zeszłego miesiąca. Stało się to po tym, jak badacze powiadomili Valve, że luka jest aktywnie wykorzystywana.

Według badaczy z firmy Avast, haker opublikował niestandardowy mod do gry wykorzystujący lukę w marcu zeszłego roku, a także trzy kolejne mody w tym samym miesiącu. Mody te zostały później usunięte przez Valve, wraz z łatką luki w zabezpieczeniach.

Pierwszy mod, zatytułowany „test addon plzi ignore”, był dowodem słuszności koncepcji wykorzystania luki, z wbudowanym kodem exploita dla CVE-2021-38003. Trzy pozostałe tryby przyjęły bardziej tajne podejście, z prostym backdoorem, który mógł wykonać dowolny kod JavaScript pobrany przez HTTP. Chociaż serwer, z którym kontaktowały się mody, nie działał już w momencie wykrycia, istnieje duże prawdopodobieństwo, że pobrany kod wykorzystywał lukę.

Podczas gdy badacze nie byli w stanie określić intencji hakera, który opublikował te mody, podejrzewa się, że nie były one przeznaczone wyłącznie w celach badawczych, ponieważ autor nie zgłosił luki w zabezpieczeniach firmie Valve i próbował ukryć exploita w backdoorze .

źródło: https://arstechnica.com/information-technology/2023/02/game-mode-exploits-high-severity-flaw-that-went-unpatched-in-dota-2-for-months/?&web_view=true