Уязвимость в клиенте Steam на протяжение 10 лет давала доступ к компьютерам пользователей

Исследователи компании Context опубликовали отчет, согласно которому в PC-клиенте игрового сервиса Steam на протяжение 10 лет работала опасная уязвимость. Баг позволял хакерам удаленно захватывать управление над компьютерами пользователей, пишут AIN.UA.

Исправление наихудших последствий, пишет автор исследования Том Корт, появилось лишь в июле прошлого года, когда Valve внедрила технологию ASLR. Подтверждений о том, что уязвимостью действительно пользовались злоумышленники, нет. Но по его оценкам Корта, до марта этого года она несла угрозу 125 млн пользователям, поскольку открывала доступ к системе. Постоянной угрозе подвергались около 15 млн активных юзеров.

После июльского патча баг продолжил существование, в более безобидной форме. Максимум, он был способен обрушить клиент Steam. Но при объединении с другой уязвимостью, указывает Корт, такую связку можно было использовать для исполнения стороннего кода на пользовательских устройствах. Чтобы продемонстрировать это, Корт загрузил видео, в котором запускает приложение-калькулятор на стороннем компьютере, используя брешь Steam-клиента.

Valve не ответила на запросы журналистов о ситуации. Зато, как рассказывает Корт, когда он впервые обратился с отчетом по этой проблеме, исправление появилось в бета-версии уже спустя 8 часов. 22 марта, когда вышла стабильная версия апдейта и угрозу полностью ликвидировали, Корта поблагодарили в релизном сообщении.

Сам автор исследования пишет:

Факт того, что такой простой баг с настолько серьезными последствиями существовал в популярном приложении на протяжение многих лет — удивителен в 2018 году. Это должно служить воодушевлением для всех исследователей, чтобы находить и сообщать о большем количество уязвимостей.

 


Михаил Сапитон, AIN


!

Если для Вас конкретно эта новость оказалась важной или интересной - пожалуйста, поделитесь ею в своей любимой социальной сети с помощью кнопок, расположенных под этим текстом. Это поможет нам в будущем делать более качественную подборку материалов, исходя из Ваших потребностей\интересов.




Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Soft

←+Ctrl+→

Интересные новости
Adobe анонсировала кроссплатформенный видеоредактор Project RushAdobe анонсировала кроссплатформенный видеоредактор Project Rush
Алгоритм NVIDIA превращает обычные видео в замедленныеАлгоритм NVIDIA превращает обычные видео в замедленные
Блок рекламы


Похожие новости

Новый AdBlock позволяет блокировать отслеживание пользователей соцсетямиНовый AdBlock позволяет блокировать отслеживание пользователей соцсетями
Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профиляхУязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях
Google и Microsoft нашли новую процессорную уязвимость. Патч может снизить производительность
В Chrome OS появилась поддержка Steam и Linux-приложенийВ Chrome OS появилась поддержка Steam и Linux-приложений
В Internet Explorer обнаружена 0-day уязвимость, которую уже используют хакерыВ Internet Explorer обнаружена 0-day уязвимость, которую уже используют хакеры
В uTorrent нашли уязвимость, которая позволяет сайтам получать контроль над ПК
Google выложила ОС Fuchsia в открытый доступGoogle выложила ОС Fuchsia в открытый доступ
В большинстве процессоров Intel нашли уязвимость. Ее решение требует изменений в ядрах ОС и понижает производительность
Легендарная ОС от Apple станет открытой и доступной всемЛегендарная ОС от Apple станет открытой и доступной всем
В Windows 10 нашли важную уязвимостьВ Windows 10 нашли важную уязвимость
Последние новости

Подгружаем последние новости