Уязвимость в клиенте Steam на протяжение 10 лет давала доступ к компьютерам пользователей

Исследователи компании Context опубликовали отчет, согласно которому в PC-клиенте игрового сервиса Steam на протяжение 10 лет работала опасная уязвимость. Баг позволял хакерам удаленно захватывать управление над компьютерами пользователей, пишут AIN.UA.

Исправление наихудших последствий, пишет автор исследования Том Корт, появилось лишь в июле прошлого года, когда Valve внедрила технологию ASLR. Подтверждений о том, что уязвимостью действительно пользовались злоумышленники, нет. Но по его оценкам Корта, до марта этого года она несла угрозу 125 млн пользователям, поскольку открывала доступ к системе. Постоянной угрозе подвергались около 15 млн активных юзеров.

После июльского патча баг продолжил существование, в более безобидной форме. Максимум, он был способен обрушить клиент Steam. Но при объединении с другой уязвимостью, указывает Корт, такую связку можно было использовать для исполнения стороннего кода на пользовательских устройствах. Чтобы продемонстрировать это, Корт загрузил видео, в котором запускает приложение-калькулятор на стороннем компьютере, используя брешь Steam-клиента.

Valve не ответила на запросы журналистов о ситуации. Зато, как рассказывает Корт, когда он впервые обратился с отчетом по этой проблеме, исправление появилось в бета-версии уже спустя 8 часов. 22 марта, когда вышла стабильная версия апдейта и угрозу полностью ликвидировали, Корта поблагодарили в релизном сообщении.

Сам автор исследования пишет:

Факт того, что такой простой баг с настолько серьезными последствиями существовал в популярном приложении на протяжение многих лет — удивителен в 2018 году. Это должно служить воодушевлением для всех исследователей, чтобы находить и сообщать о большем количество уязвимостей.

 


Михаил Сапитон, AIN

Коды для вставки в блог\форум




Интересные новости
Microsoft начала развёртывание Windows 10 October 2020 Update для всех пользователейMicrosoft начала развёртывание Windows 10 October 2020 Update для всех пользователей
Свежая версия Firefox получила улучшенный режим «картинка в картинке» и повышенную производительностьСвежая версия Firefox получила улучшенный режим «картинка в картинке» и повышенную производительность
RTM-версия Windows 10X выйдет в декабре этого годаRTM-версия Windows 10X выйдет в декабре этого года
Microsoft исправила ошибку, из-за которой веб-версии приложений Office устанавливались без разрешения пользователейMicrosoft исправила ошибку, из-за которой веб-версии приложений Office устанавливались без разрешения пользователей
Microsoft ускорила запуск Edge с помощью новой функцииMicrosoft ускорила запуск Edge с помощью новой функции
Блок рекламы


Похожие новости

Microsoft начала развёртывание Windows 10 October 2020 Update для всех пользователейMicrosoft начала развёртывание Windows 10 October 2020 Update для всех пользователей
Microsoft исправила ошибку, из-за которой веб-версии приложений Office устанавливались без разрешения пользователейMicrosoft исправила ошибку, из-за которой веб-версии приложений Office устанавливались без разрешения пользователей
Windows 10 без разрешения пользователей устанавливает веб-версии офисных приложений MicrosoftWindows 10 без разрешения пользователей устанавливает веб-версии офисных приложений Microsoft
Новая версия Skype стала доступна всем пользователямНовая версия Skype стала доступна всем пользователям
Microsoft "атаковала" пользователей полноэкранными баннерамиMicrosoft "атаковала" пользователей полноэкранными баннерами
Браузер Chrome защитит пользователей от “тяжелой” рекламыБраузер Chrome защитит пользователей от “тяжелой” рекламы
ОС судного дня появилась в свободном доступеОС судного дня появилась в свободном доступе
В Windows обнаружена новая критическая уязвимостьВ Windows обнаружена новая критическая уязвимость
Только менять: в чипсетах Intel найдена неустранимая уязвимостьТолько менять: в чипсетах Intel найдена неустранимая уязвимость
Firefox включит DNS-over-HTTPS по умолчанию для пользователей в СШАFirefox включит DNS-over-HTTPS по умолчанию для пользователей в США
Последние новости

Подгружаем последние новости