Уязвимость в клиенте Steam на протяжение 10 лет давала доступ к компьютерам пользователей

Исследователи компании Context опубликовали отчет, согласно которому в PC-клиенте игрового сервиса Steam на протяжение 10 лет работала опасная уязвимость. Баг позволял хакерам удаленно захватывать управление над компьютерами пользователей, пишут AIN.UA.

Исправление наихудших последствий, пишет автор исследования Том Корт, появилось лишь в июле прошлого года, когда Valve внедрила технологию ASLR. Подтверждений о том, что уязвимостью действительно пользовались злоумышленники, нет. Но по его оценкам Корта, до марта этого года она несла угрозу 125 млн пользователям, поскольку открывала доступ к системе. Постоянной угрозе подвергались около 15 млн активных юзеров.

После июльского патча баг продолжил существование, в более безобидной форме. Максимум, он был способен обрушить клиент Steam. Но при объединении с другой уязвимостью, указывает Корт, такую связку можно было использовать для исполнения стороннего кода на пользовательских устройствах. Чтобы продемонстрировать это, Корт загрузил видео, в котором запускает приложение-калькулятор на стороннем компьютере, используя брешь Steam-клиента.

Valve не ответила на запросы журналистов о ситуации. Зато, как рассказывает Корт, когда он впервые обратился с отчетом по этой проблеме, исправление появилось в бета-версии уже спустя 8 часов. 22 марта, когда вышла стабильная версия апдейта и угрозу полностью ликвидировали, Корта поблагодарили в релизном сообщении.

Сам автор исследования пишет:

Факт того, что такой простой баг с настолько серьезными последствиями существовал в популярном приложении на протяжение многих лет — удивителен в 2018 году. Это должно служить воодушевлением для всех исследователей, чтобы находить и сообщать о большем количество уязвимостей.

 


Михаил Сапитон, AIN

Коды для вставки в блог\форум




Интересные новости
Firefox получил поддержку режима «картинка в картинке»Firefox получил поддержку режима «картинка в картинке»
Аудитория приватного браузера Brave превысила 10 млн пользователейАудитория приватного браузера Brave превысила 10 млн пользователей
Блок рекламы


Похожие новости

Аудитория приватного браузера Brave превысила 10 млн пользователейАудитория приватного браузера Brave превысила 10 млн пользователей
Firefox будет оповещать пользователей об утечках данных, связанных с их аккаунтамиFirefox будет оповещать пользователей об утечках данных, связанных с их аккаунтами
Приложение по обучению программированию Grasshopper от Google стало доступно для десктоповПриложение по обучению программированию Grasshopper от Google стало доступно для десктопов
Google забанит расширения для Chrome, которые собирают много данных об активности пользователей
Обновление Windows 10 October 2018 доступно для всех пользователейОбновление Windows 10 October 2018 доступно для всех пользователей
Найдена опасная уязвимость в документах WordНайдена опасная уязвимость в документах Word
Раскрыта новая уязвимость нулевого дня, затрагивающая все версии WindowsРаскрыта новая уязвимость нулевого дня, затрагивающая все версии Windows
Обновление Windows 10 удаляет файлы пользователей и нагружает процессорОбновление Windows 10 удаляет файлы пользователей и нагружает процессор
Уязвимость «нулевого дня» найдена во всех операционных системах WindowsУязвимость «нулевого дня» найдена во всех операционных системах Windows
Google Chrome стал доступен на VR-устройствах Daydream ViewGoogle Chrome стал доступен на VR-устройствах Daydream View
Последние новости

Подгружаем последние новости