人気MOBA『Dota 2』にて「遠隔任意コード実行」できる脆弱性が存在したとの報告。現在は対策済み


Avastは2月8日、『Dota 2』において、リモートコード実行(RCE)が可能な脆弱性を発見していたと発表した。この脆弱性は、現在はすでにValveに報告済み。同作では1月12日のアップデートで対策がなされているという。

『Dota 2』は、Steam運営元である Valveが手がけるMOBA系ゲームだ。プレイヤーたちは5対5のチームに分かれ、アリーナにて対決。攻め込むルートの選択や仲間との連携など戦術を重ねつつ、敵チーム本陣の破壊を目指していく。本作はSteamにおいて、連日ピーク時で60万人前後の同時接続者数を誇る人気作品でもある(SteamDB)。2013年の正式リリース時から、絶大な人気を保ち続けているタイトルだ。


セキュリティソフトなどで知られるAvastが今回明かしたのは、『Dota 2』における深刻な脆弱性を同社が発見していたとの報告だ。同発表によれば、発見されたのはCVE-2021-38003、通称「V8 Exploits」と呼ばれる脆弱性のひとつだ。攻撃者はこの脆弱性を利用して、プレイヤーに対してリモートコード実行(RCE)を仕掛けることも可能だったとされる。RCEとは、攻撃者が対象のPCで任意のコードを実行できてしまう脆弱性のことだ。

また、今回見つかった脆弱性は『Dota 2』が利用していた、Google開発による実行環境V8 JavaScript engineに起因するとのこと。V8についてはこうした脆弱性が複数発見され、Google ChromeやMicrosoft Edgeなどのブラウザに影響が出る一幕もあった。ただし、脆弱性対策は随時実施されており、CVE-2021-38003についてもある時期から修正済だ。Avastは、今回『Dota 2』がV8の脆弱性の影響を被ったのは、同作が古いバージョンのV8を利用していたのが原因だとしている。


そしてAvastは、今回の脆弱性はすでにValveに報告済であり、『Dota 2』の1月12日配信アップデートにて対策済みであるとしている。同日のアップデートノートには「使用するV8 JavaScriptエンジンをバージョンアップ」と記述されている。脆弱性には触れられていないものの、これが実質上の対策だったと見られる。