Уязвимость в клиенте Steam на протяжение 10 лет давала доступ к компьютерам пользователей

Источник: ain.ua

Исследователи компании Context опубликовали отчет, согласно которому в PC-клиенте игрового сервиса Steam на протяжение 10 лет работала опасная уязвимость.

Баг позволял хакерам удаленно захватывать управление над компьютерами пользователей.

Исправление наихудших последствий, пишет автор исследования Том Корт, появилось лишь в июле прошлого года, когда Valve внедрила технологию ASLR.

Подтверждений о том, что уязвимостью действительно пользовались злоумышленники, нет.

Но по его оценкам Корта, до марта этого года она несла угрозу 125 млн пользователям, поскольку открывала доступ к системе. Постоянной угрозе подвергались около 15 млн активных юзеров.

После июльского патча баг продолжил существование, в более безобидной форме. Максимум, он был способен обрушить клиент Steam.

Но при объединении с другой уязвимостью, указывает Корт, такую связку можно было использовать для исполнения стороннего кода на пользовательских устройствах.

Чтобы продемонстрировать это, Корт загрузил видео, в котором запускает приложение-калькулятор на стороннем компьютере, используя брешь Steam-клиента.

Valve не ответила на запросы журналистов о ситуации. Зато, как рассказывает Корт, когда он впервые обратился с отчетом по этой проблеме, исправление появилось в бета-версии уже спустя 8 часов.

22 марта, когда вышла стабильная версия апдейта и угрозу полностью ликвидировали, Корта поблагодарили в релизном сообщении.

Сам автор исследования пишет:

«Факт того, что такой простой баг с настолько серьезными последствиями существовал в популярном приложении на протяжение многих лет — удивителен в 2018 году. Это должно служить воодушевлением для всех исследователей, чтобы находить и сообщать о большем количество уязвимостей».



Самые актуальные новости - в Telegram-канале

Читайте также

Добавить комментарий

Вверх