Как и в случае со многими проблемами и эксплойтами, обнаруженными в различных приложениях, на этот раз это был исследователь, принадлежащий фирме по обеспечению безопасности Context, о которой мы конкретно говорим Том Корт, который только что официально опубликовал серию документов, свидетельствующих о существовании небольшой проблемы, которая была обнаружена в программном обеспечении Настольный клиент Steam, то же самое, что было, хотя вы не поверите, последние 10 лет.
Собственно говоря, мы говорим об уязвимости, которая, несмотря на то, что вы, возможно, читали там, поскольку есть места, где кажется, что проблема смягчается, любой хакер с достаточными знаниями, если им удастся ее использовать, может даже достичь взять под контроль любой компьютер, на котором установлен этот клиент. Хуже всего во всем этом то, что, несмотря на то, что эксплойт присутствовал в приложении последние 10 лет, ни одному человеку с достаточными знаниями, чтобы нанести вред пользователю, не удалось обнаружить уязвимость.
Том Корт был экспертом по безопасности, способным обнаружить одну из худших уязвимостей компьютерного клиента Steam.
Если углубиться в детали и, как прокомментировал сам Том Корт, мы говорим о проблеме с безопасностью очень простого приложения, и, прежде всего, и, возможно, это был самый большой риск, очень простой в использовании любым хакером. Чтобы получить представление, скажу вам, что основная проблема с Программное обеспечение Steam, установленное более чем на 15 миллионов компьютеров за последние десять лет. в том, что ему не хватало защиты от новых разработок эксплойтов.
Как прокомментировал сам Том Корт, по всей видимости, благодаря этой уязвимости любой хакер мог бы получить взять под контроль любой компьютер, полностью раскрывая всю информацию о своем владельце или пользователе, включая учетные данные системы и другие службы. Лучшая часть всех этих новостей заключается в том, что на этот раз и, возможно, из-за простоты этих эксплойтов нет никаких указаний на то, что какой-либо хакер воспользовался этим ужасным недостатком безопасности.
Нам пришлось подождать до 2018 года, пока Valve решит эту проблему безопасности в Steam.
Вся эта информация стала известна после Valve, как и ожидалось. часть этой проблемы была решена в июле 2017 г.В частности, похоже, была удалена самая опасная часть уязвимости. После этого обновления любопытно в программном обеспечении все еще была ошибка, хотя и незначительная поскольку это только приводило к сбою клиента, и хакер мог только удаленно развернуть вредоносный код на машине жертвы. Фактически, чтобы продемонстрировать эту неудачу, сам Том Корт снял видео, у вас есть его в самом начале расширенной записи, где он сам запускает приложение-калькулятор удаленно, пользуясь этой ошибкой.
Как это часто бывает, Том Корт проинформировал Valve об этой ошибке, и, поскольку она была обнаружена, она не рассматривалась до 20 февраля 2018 года, даты, когда бета-версия клиента устранила эту уязвимость. 22 марта эта версия перестала быть бета-версией и наконец стала доступна всем пользователям.. В качестве детали скажу вам, что в примечаниях к выпуску вы можете найти строку, в которой благодарит самого Тома Корта.
По крайней мере, и на этот раз, несмотря на то, что прошло слишком много времени с момента обнаружения уязвимости до ее окончательного устранения, правда в том, что Valve всегда прислушивалась к комментариям Тома Корта и сотрудничала с ним. чтобы исправить сбой, что контрастирует с мерами, предлагаемыми другими типами компаний, где на этот тип контактов обычно не обращают внимания.
Дополнительная информация: Контекст