さまざまなアプリケーションで検出される多くの問題やエクスプロイトと同様に、今回はセキュリティ会社Contextに所属する研究者でしたが、具体的には トムコート、のソフトウェアで見つかった小さな問題の存在を示す一連のドキュメントを正式に公開したばかりです。 Steamデスクトップクライアント、信じられないかもしれませんが、過去10年間存在しています。
私たちは、あなたがそこに読んだかもしれないものにもかかわらず、問題が和らげられているように見える場所があるので、十分な知識を持っているハッカーがそれを悪用することができれば、到達する可能性さえある脆弱性について話している そのクライアントがインストールされているすべてのコンピューターを制御する。 この問題全体の最悪の事態は、このエクスプロイトが過去10年間アプリケーションに存在していたにもかかわらず、ユーザーに危害を加えることができる十分な知識を持った人が脆弱性を発見できなかったことです。
Tom Courtは、Steamコンピュータークライアントの最悪の脆弱性のXNUMXつを見つけることができるセキュリティの専門家です。
もう少し詳しく説明すると、Tom Court自身がコメントしているように、非常に単純なアプリケーションのセキュリティの問題について話します。とりわけ、これが最大のリスクであり、ハッカーにとって非常に使いやすいものです。 アイデアを得るために、主な問題は 過去15年間でXNUMX万台以上のコンピューターにインストールされたSteamソフトウェア 新しいエクスプロイトの開発に対する保護が不足しているということです。
トムコート自身がコメントしたように、明らかに、この脆弱性のおかげで、どんなハッカーもなんとか得ることができたでしょう 任意のコンピューターを制御する、システム資格情報やその他のサービスを含む、所有者またはユーザーのすべての情報を完全に公開します。 このすべてのニュースの最良の部分は、おそらくこれらのエクスプロイトの単純さのために、ハッカーがこのひどいセキュリティ上の欠陥を利用したという兆候がないということです。
私たちはValveがSteamでこのセキュリティ問題を解決するのを2018年まで待たなければなりませんでした
このすべての情報は、予想通り、Valveの後に明らかになりました この問題の一部は2017年XNUMX月に解決されました具体的には、脆弱性の最も危険な部分が削除されたようです。 この更新の後、不思議なことに マイナーなものではありますが、ソフトウェアにはまだバグがありました これはクライアントをクラッシュさせるだけであり、ハッカーは被害者のマシンに悪意のあるコードをリモートで展開することしかできなかったためです。 実際、この失敗を実証するために、トムコート自身がビデオを作成しました。拡張エントリの最初に、彼自身がこの失敗を利用して電卓アプリケーションをリモートで起動します。
よくあることですが、Tom CourtはValveにこの失敗を通知しました。発見されて以来、クライアントのベータ版がこの脆弱性を解決した20年2018月XNUMX日までレビューはありませんでした。 22月XNUMX日、このバージョンはベータ版ではなくなり、最終的にすべてのユーザーに届きました。 詳細として、リリースノートには、トムコート自身が感謝されている行があります。
少なくとも今回は、脆弱性が検出されてから最終的に解決されるまでに時間がかかりすぎたにもかかわらず、真実は バルブは常にトムコートのコメントに耳を傾け、彼と協力してきました 失敗を修正するために、通常このタイプの連絡に注意が払われない他のタイプの会社によって提示された措置とは対照的な何か。
詳細情報: コンテキスト