Zoals met veel van de problemen en exploits die worden gedetecteerd in de verschillende applicaties, was het deze keer een onderzoeker van het beveiligingsbedrijf Context, we hebben het hier specifiek over Tom rechtbank, dat zojuist officieel een reeks documenten heeft gepubliceerd die het bestaan aantonen van een klein probleem dat is gevonden in de software van het Steam-desktopclient, die aanwezig is, hoewel je het misschien niet gelooft, de afgelopen 10 jaar.
Eigenlijk hebben we het over een kwetsbaarheid die, ondanks wat je daar misschien hebt gelezen, aangezien er plaatsen zijn waar het lijkt alsof het probleem wordt verzacht, elke hacker met voldoende kennis, als hij erin slaagt er misbruik van te maken, zelfs kan bereiken controle over elke computer waarop die client is geïnstalleerd. Het ergste van dit hele probleem is dat, ondanks het feit dat de exploit de afgelopen 10 jaar in de applicatie aanwezig is, geen persoon met voldoende kennis om een gebruiker te kunnen schaden, de kwetsbaarheid heeft kunnen ontdekken.
Tom Court was de beveiligingsexpert die een van de ergste kwetsbaarheden van de Steam-computerclient kon vinden
We gaan wat meer in detail en zoals Tom Court zelf heeft opgemerkt, hebben we het over een probleem met de beveiliging van de zeer eenvoudige applicatie en, bovenal, en misschien was dit het grootste risico, zeer gemakkelijk te gebruiken door elke hacker. Om een idee te krijgen, vertel u dat het grootste probleem met Steam-software die de afgelopen tien jaar op meer dan 15 miljoen computers is geïnstalleerd is dat het geen bescherming bood tegen nieuwe exploitontwikkelingen.
Zoals Tom Court zelf heeft opgemerkt, zou dankzij deze kwetsbaarheid blijkbaar elke hacker erin hebben kunnen slagen neem de controle over elke computer, waarbij alle informatie van de eigenaar of gebruiker volledig wordt onthuld, inclusief de systeemreferenties en andere services. Het beste van al dit nieuws is dat er, voor een keer, en misschien vanwege de eenvoud van deze exploits, geen enkele aanwijzing is dat een hacker misbruik heeft gemaakt van deze vreselijke beveiligingslek.
We moesten wachten tot 2018 voordat Valve dit beveiligingsprobleem op Steam had opgelost
Al deze informatie is voorspelbaar na Valve aan het licht gekomen een deel van dit probleem is in juli 2017 opgelostIn het bijzonder lijkt het erop dat het gevaarlijkste deel van de kwetsbaarheid is verwijderd. Na deze update merkwaardig de software had nog steeds een bug, zij het een kleine aangezien dit er alleen voor zorgde dat de client crashte en de hacker alleen op afstand kwaadaardige code op de computer van het slachtoffer kon inzetten. Om deze mislukking aan te tonen, heeft Tom Court zelf een video gemaakt, je hebt het precies aan het begin van de uitgebreide invoer, waar hij zelf de rekenmachine-applicatie op afstand start en profiteert van deze mislukking.
Zoals zo vaak heeft Tom Court Valve op de hoogte gebracht van deze storing en sinds de ontdekking is deze niet beoordeeld tot 20 februari van dit jaar 2018, de datum waarop de bètaversie van de client deze kwetsbaarheid oploste. Op 22 maart was deze versie niet meer bèta en bereikte eindelijk alle gebruikers. Vertel je als detail dat je in de release notes een regel kunt vinden waar Tom Court zelf wordt bedankt.
In ieder geval en deze keer, ondanks het feit dat er te veel tijd is verstreken sinds de kwetsbaarheid werd gedetecteerd totdat deze eindelijk is opgelost, is de waarheid dat Valve luisterde te allen tijde naar de opmerkingen van Tom Court en heeft met hem samengewerkt om de mislukking te corrigeren, iets dat contrasteert met de maatregelen die worden gepresenteerd door andere soorten bedrijven waar dit soort contact meestal niet wordt opgevangen.
Meer informatie: Context