Както при много от проблемите и експлоатите, които се откриват в различните приложения, този път става въпрос за изследовател, принадлежащ към охранителната фирма Context, за което говорим специално Том съд, която току-що официално публикува поредица от документи, показващи съществуването на малък проблем, който е открит в софтуера на Клиент Steam за настолни компютри, който присъства, макар и да не ви се вярва, през последните 10 години.
Всъщност говорим за уязвимост, която въпреки това, което може би сте прочели там, тъй като има места, където изглежда, че проблемът е смекчен, всеки хакер с достатъчно знания, ако успее да го използва, може дори поемете контрола над всеки компютър, на който е инсталиран този клиент. Най-лошото в целия този проблем е, че въпреки факта, че експлойтът присъства в приложението през последните 10 години, никой човек с достатъчно знания, за да може да навреди на потребител, не е успял да открие уязвимостта.
Том Корт е експерт по сигурността, способен да открие една от най-лошите уязвимости на компютърния клиент на Steam
Влизайки в малко повече подробности и както самият Том Корт коментира, говорим за проблем със сигурността на много простото приложение и най-вече и може би това е най-големият риск, много лесен за използване от всеки хакер. За да добиете представа, ви казвам, че основният проблем с Steam софтуер, който е инсталиран на повече от 15 милиона компютъра през последните десет години е, че му липсва защита срещу нови разработки.
Както самият Том Корт коментира, очевидно благодарение на тази уязвимост всеки хакер е успял да получи поемете контрола над всеки компютър, разкривайки напълно цялата информация на нейния собственик или потребител, включително системните идентификационни данни и други услуги. Най-хубавото на всички тези новини е, че веднъж и може би поради простотата на тези подвизи няма индикации, че някой хакер се е възползвал от този ужасен недостатък в сигурността.
Трябваше да изчакаме до 2018 г. Valve да реши този проблем със сигурността в Steam
Цялата тази информация излезе наяве след Valve, предсказуемо част от този проблем беше решен през юли 2017 г.По-конкретно, изглежда, най-опасната част от уязвимостта е премахната. След тази актуализация любопитно софтуерът все още имаше грешка, макар и по-малко тъй като това само доведе до срив на клиента и хакерът можеше само отдалечено да разположи злонамерен код на машината на жертвата. Всъщност и за да демонстрира този неуспех, самият Том Корт направи видеоклип, имате го в началото на разширения запис, където самият той стартира приложението на калкулатора дистанционно, като се възползва от този неуспех.
Както често се случва, Том Корт информира Valve за този неуспех и тъй като е бил открит, той е бил без преглед до 20 февруари тази година 2018, дата, в която бета версията на клиента е решила тази уязвимост. На 22 март тази версия спря да бъде бета и най-накрая достигна до всички потребители. Като подробност ви казвам, че в бележките за изданието можете да намерите ред, на който самият Том Корт е благодарен.
Поне и този път, въпреки факта, че е изминало твърде много време от откриването на уязвимостта до окончателното й отстраняване, истината е, че Valve по всяко време се вслушва в коментарите на Tom Court и си сътрудничи с него за коригиране на неуспеха, нещо, което контрастира с мерките, представени от други видове компании, при които този тип контакт обикновено не се обръща внимание.
За повече информация: Контекст