Dota 2: 15 mesi che si risolve la patch

Gli esperti di sicurezza della società Avast hanno scoperto quattro modalità di gioco che potevano sfruttare con successo una vulnerabilità critica rimasta non corretta per 15 mesi nel popolare gioco video Dota 2, dopo che una soluzione era diventata disponibile. La vulnerabilità, identificata come CVE-2021-38003, si trovava nell’engine JavaScript open source di Google conosciuto come V8, che è incorporato in Dota 2. Sebbene Google abbia corretto la vulnerabilità nel mese di ottobre 2021, lo sviluppatore di Dota 2, Valve, non ha aggiornato il suo software per utilizzare l’engine V8 corretto fino al mese scorso, dopo che gli esperti hanno avvisato la società in privato che la vulnerabilità critica stava diventando un bersaglio. Un hacker ha sfruttato il ritardo pubblicando una modalità di gioco personalizzata che sfruttava la vulnerabilità lo scorso marzo. Lo stesso hacker ha pubblicato altre tre modalità di gioco che molto probabilmente sfruttavano anche la vulnerabilità. Oltre a correggere la vulnerabilità lo scorso mese, Valve ha anche rimosso tutte e quattro le modalità.