Stejně jako u mnoha problémů a zneužití, které jsou detekovány v různých aplikacích, tentokrát se jednalo o výzkumného pracovníka patřícího do bezpečnostní firmy Context, mluvíme konkrétně o Tom soud, který právě oficiálně publikoval řadu dokumentů ukazujících existenci malého problému, který byl nalezen v softwaru Steam desktopový klient, který je přítomen, i když tomu možná nevěříte, posledních 10 let.
Konkrétně mluvíme o zranitelnosti, kterou, navzdory tomu, co jste si tam mohli přečíst, existují místa, kde se zdá, že se problém zmírňuje, jakýkoli hacker s dostatečnými znalostmi, pokud se mu ho podaří zneužít, by se dokonce mohl dostat převzít kontrolu nad jakýmkoli počítačem, na kterém byl tento klient nainstalován. Nejhorší na celém tomto problému je, že navzdory skutečnosti, že zneužití je v aplikaci přítomno posledních 10 let, žádná osoba s dostatečnými znalostmi, aby mohla ublížit uživateli, nebyla schopna odhalit tuto chybu zabezpečení.
Tom Court byl bezpečnostním expertem schopným najít jednu z nejhorších zranitelností počítačového klienta Steam
Jdeme-li trochu podrobněji a jak sám Tom Court poznamenal, mluvíme o problému se zabezpečením velmi jednoduché aplikace a především a možná to bylo největší riziko, velmi snadno použitelné jakýmkoli hackerem. Chcete-li získat představu, řekněte, že hlavní problém s Software pro Steam, který byl nainstalován na více než 15 milionů počítačů za posledních deset let je to, že postrádala ochranu před novým vývojem zneužívání.
Jak sám poznamenal Tom Court, zjevně se díky této zranitelnosti mohl dostat jakýkoli hacker převzít kontrolu nad jakýmkoli počítačem, zcela odhalující všechny informace o jeho vlastníkovi nebo uživateli, včetně pověření systému a dalších služeb. Nejlepší na všech těchto novinkách je, že pro jednou a snad kvůli jednoduchosti těchto zneužití nic nenasvědčuje tomu, že by nějaký hrozný bezpečnostní nedostatek využil nějaký hacker.
Museli jsme počkat do roku 2018, než Valve vyřeší tento bezpečnostní problém ve službě Steam
Všechny tyto informace vyšly najevo předvídatelně po Valve část tohoto problému byla vyřešena v červenci 2017Zdá se, že byla odstraněna nejnebezpečnější část této chyby zabezpečení. Po této aktualizaci zvědavě software měl stále chybu, i když menší protože to způsobilo pouze zhroucení klienta a hacker mohl jen vzdáleně nasadit škodlivý kód na stroj oběti. Ve skutečnosti a k prokázání tohoto selhání sám Tom Court natočil video, máte ho hned na začátku rozšířeného záznamu, kde sám vzdáleně spouští aplikaci kalkulačky s využitím tohoto selhání.
Tom Court, jak se často stává, informoval Valve o tomto selhání a od jeho objevení nebyl přezkoumán až do 20. února tohoto roku 2018, data, kdy beta verze klienta tuto chybu zabezpečení vyřešila. 22. března přestala být tato verze beta a konečně se dostala ke všem uživatelům. Jako detail vám řeknu, že v poznámkách k vydání najdete řádek, kde je poděkování samotnému Tomu Courtovi.
Alespoň a tentokrát, navzdory skutečnosti, že od zjištění chyby zabezpečení uplynulo příliš mnoho času, dokud nebyla konečně vyřešena, je pravda, že Společnost Valve vždy dbala na komentáře Toma Courta a spolupracovala s ním napravit neúspěch, něco, co je v rozporu s opatřeními předloženými jinými typy společností, kde tomuto typu kontaktu není obvykle věnována pozornost.
Více informací: Kontext