Nagu paljude probleemide ja ekspluateerimiste puhul, mida erinevates rakendustes avastatakse, oli ka seekord tegemist turvaettevõttesse Context kuuluva teadlasega, Tom kohus, mis on äsja ametlikult avaldanud rea dokumente, mis näitavad väikese tarkvara olemasolu, mis on leitud Steam töölaua klient, sama, mis on olnud olemas, kuigi te ei pruugi seda uskuda, viimase 10 aasta jooksul.
Cocretely me räägime haavatavusest, mis vaatamata sellele, mida olete sealt välja lugenud, kuna on kohti, kus tundub, et probleemi leevendatakse, võib iga piisavate teadmistega häkker, kui tal õnnestub seda ära kasutada, isegi jõuda võtke üle suvaline arvuti, kuhu see klient oli installitud. Halvim asi kogu selle asja juures on see, et hoolimata asjaolust, et ekspluateerimine on rakenduses olnud viimase 10 aasta jooksul, pole ühelgi inimesel, kellel on piisavalt teadmisi, et oleks võimalik kasutajale kahju teha, haavatavust avastada.
Tom Court on olnud turvaekspert, kes on võimeline leidma Steami arvutikliendi ühe halvima haavatavuse
Veidi üksikasjalikumalt süvenedes ja nagu Tom Court ise on kommenteerinud, räägime väga lihtsa rakenduse turvalisuse probleemist ja ennekõike ja võib-olla on see olnud suurim risk, mida on igal häkkeril väga lihtne kasutada. Idee saamiseks öelge teile, et peamine probleem on Steami tarkvara, mis on viimase kümne aasta jooksul installitud enam kui 15 miljonile arvutile on see, et tal puudus kaitse uute ärakasutamise arengute eest.
Nagu Tom Court ise on kommenteerinud, oleks ilmselt tänu sellele haavatavusele suvalisel häkkeril õnnestunud hankida võtta suvalise arvuti üle kontrolli, paljastades täielikult kogu selle omaniku või kasutaja teabe, sealhulgas süsteemi mandaadid ja muud teenused. Parim osa kõigist nendest uudistest on see, et üks kord ja võib-olla nende ekspluateerimiste lihtsuse tõttu ei viita miski sellele, et mõni häkker oleks seda kohutavat turvaviga ära kasutanud.
Pidime ootama 2018. aastat, kuni Valve selle turvaprobleemi Steamis lahendab
Kogu see teave on ilmnenud Valve järel, prognoositavalt osa sellest probleemist lahendati 2017. aasta juulisTäpsemalt näib, et haavatavuse kõige ohtlikum osa eemaldati. Pärast seda värskendust uudishimulikult tarkvaral oli endiselt viga, ehkki väike kuna see põhjustas ainult kliendi kokkuvarisemise ja häkker sai ohvri masinasse vaid pahatahtliku koodi kaugjuurdepääsuga panna. Tegelikult ja selle ebaõnnestumise demonstreerimiseks tegi Tom Court ise video, teil on see kohe laiendatud kirje alguses, kus ta ise käivitab kalkulaatori rakenduse, kasutades seda ebaõnnestumist.
Nagu sageli juhtub, teavitas Tom Court Valvet sellest ebaõnnestumisest ja kuna see avastati, on see läbi vaatamata kuni 20. aasta 2018. veebruarini - kuupäevani, mil kliendi beetaversioon selle haavatavuse lahendas. 22. märtsil lõpetas selle versiooni beetaversioon ja jõudis lõpuks kõigi kasutajateni. Üksikasjalikult öelge teile, et väljalaskemärkmetest leiate rida, kus tänatakse Tom Courtit ennast.
Vähemalt ja seekord, hoolimata asjaolust, et haavatavuse avastamisest on möödunud liiga kaua, kuni see on lõplikult lahendatud, on tõde, et Valve võttis Tom Courti kommentaare kogu aeg arvesse ja on temaga koostööd teinud ebaõnnestumise parandamiseks on midagi muud, mis vastandub muud tüüpi ettevõtete esitatud meetmetele, kus seda tüüpi kontaktidele tavaliselt tähelepanu ei pöörata.
Rohkem infot: kontekst