Выяўлены эксплойт у настольным дадатку Steam, які прысутнічаў апошнія 10 гадоў

Пар

Як і ў выпадку з многімі праблемамі і подзвігамі, якія выяўляюцца ў розных прыкладаннях, на гэты раз гэта быў даследчык, які ўваходзіць у фірму бяспекі Context, пра якую мы спецыяльна гаворым Том суд, які толькі што афіцыйна апублікаваў серыю дакументаў, якія сведчаць аб існаванні невялікай праблемы, выяўленай у праграмным забеспячэнні Кліент Steam для працоўнага стала, тое самае, якое прысутнічае, хоць вы можаце і не верыць, на працягу апошніх 10 гадоў.

Канкрэтна мы гаворым пра ўразлівасць, якая, нягледзячы на ​​тое, што вы там маглі прачытаць, бо ёсць месцы, дзе здаецца, што праблема змякчаецца, любы хакер, які валодае дастатковымі ведамі, можа нават выкарыстаць яе, нават можа узяць пад кантроль любы кампутар, на якім быў усталяваны гэты кліент. Самае страшнае ва ўсім гэтым заключаецца ў тым, што, нягледзячы на ​​тое, што эксплойт прысутнічае ў дадатку на працягу апошніх 10 гадоў, ні адзін чалавек, які валодае дастатковай колькасцю ведаў, каб нанесці шкоду карыстальніку, не здолеў выявіць уразлівасць.

Том Корт быў экспертам па бяспецы, здольным знайсці адну з найгоршых уразлівасцяў кампутарнага кліента Steam

Паглыбляючыся крыху больш падрабязна і як пракаментаваў сам Том Корт, гаворка ідзе пра праблему бяспекі вельмі простага прыкладання, і, перш за ўсё, і, магчыма, гэта была найбольшая рызыка, вельмі простая ў выкарыстанні любым хакерам. Каб атрымаць уяўленне, скажу вам, што галоўная праблема з Праграмнае забеспячэнне Steam, якое было ўстаноўлена на больш чым 15 мільёнаў кампутараў за апошнія дзесяць гадоў заключаецца ў тым, што яму не хапала абароны ад новых падзей.

Як пракаментаваў сам Том Корт, мабыць, дзякуючы гэтай уразлівасці ўдалося атрымаць любому хакеру узяць пад кантроль любы кампутар, цалкам раскрываючы ўсю інфармацыю пра ўладальніка альбо карыстальніка, уключаючы ўліковыя дадзеныя сістэмы і іншыя паслугі. Лепшая частка ўсіх гэтых навін заключаецца ў тым, што калі-небудзь і, магчыма, дзякуючы прастаце гэтых подзвігаў, няма ніякіх прыкмет таго, што хакер скарыстаўся гэтым жудасным недахопам бяспекі.

Бібліятэка парных гульняў

Нам давялося пачакаць да 2018 года, пакуль Valve вырашыць гэтую праблему бяспекі ў Steam

Уся гэтая інфармацыя з'явілася пасля Valve, як і можна было прадбачыць частка гэтай праблемы была вырашана ў ліпені 2017 годаУ прыватнасці, здаецца, была выдаленая найбольш небяспечная частка ўразлівасці. Пасля гэтага абнаўлення цікава праграмнае забеспячэнне ўсё яшчэ мела памылку, хаця і нязначную бо гэта толькі прывяло да збою кліента, і хакер мог толькі аддалена размясціць шкоднасны код на машыне ахвяры. На самай справе, і каб прадэманстраваць гэтую няўдачу, сам Том Корт зрабіў відэа, яно ў вас ёсць у самым пачатку пашыранага запісу, дзе ён сам запускае дадатак калькулятара, аддалена карыстаючыся гэтай няўдачай.

Як часта бывае, Том Корт паведаміў Valve аб гэтай няўдачы, і з моманту яе выяўлення яна не была разгледжана да 20 лютага гэтага года 2018 года, калі бета-версія кліента вырашыла гэтую ўразлівасць. 22 сакавіка гэтая версія перастала быць бэта-версіяй і нарэшце дайшла да ўсіх карыстальнікаў. Падрабязна раскажам, што ў нататках да рэлізу вы можаце знайсці радок, дзе дзякуюць самому Тому Корту.

Прынамсі, і на гэты раз, нягледзячы на ​​тое, што з моманту выяўлення ўразлівасці прайшло занадта шмат часу, пакуль яна канчаткова не была вырашана, праўда ў тым, што Клапан увесь час прыслухоўваўся да каментарыяў Тома Корта і супрацоўнічаў з ім для таго, каб выправіць няспраўнасць, нешта кантрастуе з мерамі, прадстаўленымі іншымі тыпамі кампаній, на якія звычайна не звяртаюць увагі гэты тып кантактаў.

Больш падрабязная інфармацыя: Кантэкст


Змест артыкула адпавядае нашым прынцыпам рэдакцыйная этыка. Каб паведаміць пра памылку, націсніце тут.

Будзьце першым, каб каментаваць

Пакіньце свой каментар

Ваш электронны адрас не будзе апублікаваны. Абавязковыя для запаўнення палі пазначаныя *

*

*

  1. Адказны за дадзеныя: Мігель Анхель Гатон
  2. Прызначэнне дадзеных: Кантроль спаму, кіраванне каментарыямі.
  3. Легітымнасць: ваша згода
  4. Перадача дадзеных: Дадзеныя не будуць перададзены трэцім асобам, за выключэннем юрыдычных абавязкаў.
  5. Захоўванне дадзеных: База дадзеных, размешчаная Occentus Networks (ЕС)
  6. Правы: у любы час вы можаце абмежаваць, аднавіць і выдаліць сваю інфармацыю.