Уязвимость в клиенте Steam на протяжение 10 лет давала доступ к компьютерам пользователей

Исследователи компании Context опубликовали отчет, согласно которому в PC-клиенте игрового сервиса Steam на протяжение 10 лет работала опасная уязвимость. Баг позволял хакерам удаленно захватывать управление над компьютерами пользователей, пишут AIN.UA.

Исправление наихудших последствий, пишет автор исследования Том Корт, появилось лишь в июле прошлого года, когда Valve внедрила технологию ASLR. Подтверждений о том, что уязвимостью действительно пользовались злоумышленники, нет. Но по его оценкам Корта, до марта этого года она несла угрозу 125 млн пользователям, поскольку открывала доступ к системе. Постоянной угрозе подвергались около 15 млн активных юзеров.

После июльского патча баг продолжил существование, в более безобидной форме. Максимум, он был способен обрушить клиент Steam. Но при объединении с другой уязвимостью, указывает Корт, такую связку можно было использовать для исполнения стороннего кода на пользовательских устройствах. Чтобы продемонстрировать это, Корт загрузил видео, в котором запускает приложение-калькулятор на стороннем компьютере, используя брешь Steam-клиента.

Valve не ответила на запросы журналистов о ситуации. Зато, как рассказывает Корт, когда он впервые обратился с отчетом по этой проблеме, исправление появилось в бета-версии уже спустя 8 часов. 22 марта, когда вышла стабильная версия апдейта и угрозу полностью ликвидировали, Корта поблагодарили в релизном сообщении.

Сам автор исследования пишет:

Факт того, что такой простой баг с настолько серьезными последствиями существовал в популярном приложении на протяжение многих лет — удивителен в 2018 году. Это должно служить воодушевлением для всех исследователей, чтобы находить и сообщать о большем количество уязвимостей.

 


Михаил Сапитон, AIN

Коды для вставки в блог\форум




Интересные новости
Незавершенная версия Windows 7 работает лучше VistaНезавершенная версия Windows 7 работает лучше Vista
Программист открыл заблокированные возможности Windows 7Программист открыл заблокированные возможности Windows 7
Quick Slide Show 2.32: создание flash-презентацийQuick Slide Show 2.32: создание flash-презентаций
Покупатели гоняются за старыми компьютерами ради Windows XP
Визуализатор V-Ray 1.5 Service Pack 2 с поддержкой 3ds Max 2009Визуализатор V-Ray 1.5 Service Pack 2 с поддержкой 3ds Max 2009
Блок рекламы


Похожие новости

Microsoft "атаковала" пользователей полноэкранными баннерамиMicrosoft "атаковала" пользователей полноэкранными баннерами
Браузер Chrome защитит пользователей от “тяжелой” рекламыБраузер Chrome защитит пользователей от “тяжелой” рекламы
ОС судного дня появилась в свободном доступеОС судного дня появилась в свободном доступе
В Windows обнаружена новая критическая уязвимостьВ Windows обнаружена новая критическая уязвимость
Только менять: в чипсетах Intel найдена неустранимая уязвимостьТолько менять: в чипсетах Intel найдена неустранимая уязвимость
Firefox включит DNS-over-HTTPS по умолчанию для пользователей в СШАFirefox включит DNS-over-HTTPS по умолчанию для пользователей в США
В процессорах Intel обнаружена новая уязвимость, заплаток пока нетВ процессорах Intel обнаружена новая уязвимость, заплаток пока нет
Avast уличили в продаже данных пользователейAvast уличили в продаже данных пользователей
Apple открыла доступ к своей программе Bug Bounty для всех исследователейApple открыла доступ к своей программе Bug Bounty для всех исследователей
В Windows 10 стал доступен визуальный поискВ Windows 10 стал доступен визуальный поиск
Последние новости

Подгружаем последние новости