与在不同应用程序中发现的许多问题和漏洞一样,这次是安全公司Context的一名研究人员,我们专门谈论 汤姆法院,该文件刚刚正式发布了一系列文件,显示了在软件的软件中发现的一个小问题的存在。 Steam桌面客户端,尽管您可能不相信,但在过去十年中一直存在。
确切地说,我们正在谈论的是一个漏洞,尽管您可能已经在这里读到了什么,但由于在某些地方似乎问题已经得到缓解,因此任何有足够知识的黑客,如果能够设法利用它,甚至可以 控制安装了该客户端的任何计算机。 关于这件事的最糟糕的事情是,尽管在过去的十年中该应用程序中一直存在漏洞利用程序,但没有足够的知识能够伤害用户的人还是设法发现了该漏洞。
Tom Court一直是安全专家,能够发现Steam计算机客户端中最严重的漏洞之一
更详细一点,正如汤姆·科特本人评论的那样,我们正在谈论非常简单的应用程序的安全性问题,最重要的是,这可能是最大的风险,任何黑客都非常容易使用。 告诉您一个主要想法 在过去十年中已在超过15万台计算机上安装了Steam软件 是它缺乏针对新的漏洞利用程序开发的保护。
正如汤姆·科特本人(Tom Court)所说,显然,由于存在此漏洞,任何黑客都可以设法获得 控制任何计算机,完全揭示其所有者或用户的所有信息,包括系统凭证和其他服务。 所有这些消息的最好之处在于,有一次,也许是由于这些漏洞利用的简单性,没有迹象表明任何黑客都利用了这一可怕的安全漏洞。
我们不得不等到2018年Valve才能解决Steam上的这个安全问题
所有这些信息在Valve之后都可以发现 该问题的一部分已于2017年XNUMX月解决具体来说,似乎该漏洞最危险的部分已被删除。 在此更新后好奇 该软件仍然存在错误,尽管只是一个小错误 因为这只会导致客户端崩溃,并且黑客只能在受害者的计算机上远程部署恶意代码。 实际上,为了演示此失败,Tom Court亲自制作了一个视频,您在扩展条目的开头就拥有了该视频,他自己在该视频中利用此失败来远程启动计算器应用程序。
通常情况下,Tom Court将此失败通知给Valve,自发现以来,直到20年2018月XNUMX日客户端beta版本解决此漏洞的日期才对其进行审查。 22月XNUMX日,该版本停止测试,最终覆盖所有用户。 详细地说,告诉您在发行说明中可以找到一行,感谢Tom Court本人。
至少并且这次,尽管从发现漏洞到最终解决它已经过去了很长时间,但事实是 Valve一直都在听取Tom Court的评论,并与他合作 为了纠正故障,这与其他类型的公司所采取的措施形成了鲜明的对比,在这种类型的公司中,通常不关注此类接触。
更多信息: 语境