Kao i kod mnogih problema i iskorištavanja koji su otkriveni u različitim aplikacijama, i ovoga puta radi se o istraživaču koji pripada sigurnosnoj firmi Context, mi posebno govorimo o Tom sud, koji je upravo službeno objavio seriju dokumenata koji pokazuju postojanje malog problema koji je pronađen u softveru Steam desktop klijent, koji je prisutan, iako možda ne vjerujete, posljednjih 10 godina.
Tačno govorimo o ranjivosti koju bi, unatoč onome što ste možda tamo pročitali, budući da postoje mjesta na kojima se čini da je problem ublažen, svaki haker s dovoljno znanja, ako ga uspije iskoristiti, mogao i doseći preuzmite kontrolu nad bilo kojim računarom na kojem je taj klijent instaliran. Najgore u cijelom ovom pitanju je to što, uprkos činjenici da je exploit prisutan u aplikaciji posljednjih 10 godina, nijedna osoba koja ima dovoljno znanja da bi mogla naštetiti korisniku nije uspjela otkriti ranjivost.
Tom Court je stručnjak za sigurnost sposoban otkriti jednu od najgorih ranjivosti Steam računarskog klijenta
Ulazeći u malo više detalja i kao što je i sam Tom Court komentirao, govorimo o problemu sa sigurnošću vrlo jednostavne aplikacije i, iznad svega i možda je ovo bio najveći rizik, vrlo lak za upotrebu bilo kojeg hakera. Da biste dobili ideju, recite vam da je glavni problem u Steam softver koji je instaliran na više od 15 miliona računara u posljednjih deset godina je da nije imao zaštitu od novih iskorištavanja.
Kao što je i sam Tom Court komentirao, očito je zahvaljujući ovoj ranjivosti bilo koji haker mogao uspjeti doći preuzmite kontrolu nad bilo kojim računarom, u potpunosti otkrivajući sve informacije o svom vlasniku ili korisniku, uključujući vjerodajnice sistema i druge usluge. Najbolji dio svih ovih vijesti je da, jednom i možda zbog jednostavnosti ovih iskorištavanja, nema naznaka da je bilo koji haker iskoristio ovu strašnu sigurnosnu manu.
Morali smo pričekati do 2018. da Valve riješi ovaj sigurnosni problem na Steamu
Sve ove informacije izašle su na vidjelo nakon ventila, što je i predvidljivo dio ovog problema riješen je u julu 2017. godineKonkretno, čini se da je uklonjen najopasniji dio ranjivosti. Nakon ovog ažuriranja znatiželjno softver je i dalje imao grešku, iako manju jer je ovo samo uzrokovalo pad klijenta i haker je mogao samo daljinski rasporediti zlonamjeran kôd na žrtvinom stroju. Zapravo i da bi demonstrirao ovaj neuspjeh, Tom Court je sam snimio video, imate ga odmah na početku proširenog unosa, gdje on sam pokreće aplikaciju kalkulatora na daljinu koristeći tu neuspjeh.
Kao što je često slučaj, Tom Court obavijestio je Valvea o ovom neuspjehu i, otkad je otkriven, bio je bez provjere do 20. veljače ove 2018. godine, datuma kada je beta verzija klijenta riješila ovu ranjivost. 22. marta ova verzija prestala je biti beta i konačno je stigla do svih korisnika. Kao detalj, recimo vam da u bilješkama uz izdanje možete pronaći redak na kojem se zahvaljuje Tomu Courtu.
Barem i ovaj put, uprkos činjenici da je prošlo previše vremena od otkrivanja ranjivosti dok konačno nije riješena, istina je da Valve je cijelo vrijeme slušao komentare Toma Courta i surađivao s njim kako bi se ispravili kvarovi, nešto što je u suprotnosti sa mjerama koje su predstavile druge vrste kompanija u kojima se obično ne obraća pažnja na ovu vrstu kontakta.
Više informacija: kontekst