прислать материал
AIN.UA » Безопасность, КоллекцииУязвимость в клиенте Steam на протяжение 10 лет давала доступ к компьютерам пользователей

Уязвимость в клиенте Steam на протяжение 10 лет давала доступ к компьютерам пользователей

2199 0

Исследователи компании Context опубликовали отчет, согласно которому в PC-клиенте игрового сервиса Steam на протяжение 10 лет работала опасная уязвимость. Баг позволял хакерам удаленно захватывать управление над компьютерами пользователей.

Исправление наихудших последствий, пишет автор исследования Том Корт, появилось лишь в июле прошлого года, когда Valve внедрила технологию ASLR. Подтверждений о том, что уязвимостью действительно пользовались злоумышленники, нет. Но по его оценкам Корта, до марта этого года она несла угрозу 125 млн пользователям, поскольку открывала доступ к системе. Постоянной угрозе подвергались около 15 млн активных юзеров.

После июльского патча баг продолжил существование, в более безобидной форме. Максимум, он был способен обрушить клиент Steam. Но при объединении с другой уязвимостью, указывает Корт, такую связку можно было использовать для исполнения стороннего кода на пользовательских устройствах. Чтобы продемонстрировать это, Корт загрузил видео, в котором запускает приложение-калькулятор на стороннем компьютере, используя брешь Steam-клиента.

Valve не ответила на запросы журналистов о ситуации. Зато, как рассказывает Корт, когда он впервые обратился с отчетом по этой проблеме, исправление появилось в бета-версии уже спустя 8 часов. 22 марта, когда вышла стабильная версия апдейта и угрозу полностью ликвидировали, Корта поблагодарили в релизном сообщении.

Сам автор исследования пишет: 

Факт того, что такой простой баг с настолько серьезными последствиями существовал в популярном приложении на протяжение многих лет — удивителен в 2018 году. Это должно служить воодушевлением для всех исследователей, чтобы находить и сообщать о большем количество уязвимостей.

Напомним, ранее на AIN.UA выходил материал о том, кто такие «белые хакеры», которые взламывают системы и получают за это деньги.

Заметили ошибку? Выделите ее и нажмите Ctrl+Enter, чтобы сообщить нам.

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Поиск

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: