Баг Steam позволял хакерам удаленно управлять компьютерами в течение 10 лет
Согласно деталям эксплоита, опубликованным фирмой по безопасности Context, в Steam-клиенте на PC продолжительное время находилась опасная брешь. Баг присутствовал в клиенте на протяжении последних десяти лет и делал уязвимым PC-пользователей для удаленного контроля хакерами.
Согласно отчету, баг не оказался довольно простым и не требовал ухищрений для эксплуатации в связи с отсутствием современной защиты от атак. Компания отмечает, что Valve закрыла дыру еще в прошлом июле. Хотя нет доказательств того, что баг когда-либо использовался хакерами, но если это происходило, то позволяло удаленно запускать код на 15 миллионах активных клиентах, получая полный контроль над системой жертвы. Уязвимость была закрыта только тогда, когда Valve начала использовать современные методы борьбы с эксплоитами.
Версия бага все еще находилась в клиенте после исправления, но в худшем случае приводила только к вылету клиента. К сожалению, в комбинации с отдельной уязвимостью брешь можно было использовать для активации кода на машине жертвы.
Демонстрацию работы можно посмотреть на видео ниже.
Valve пока не прокомментировала ситуацию, однако специалист по безопасности Том Корт сообщил о бреши еще 20 февраля, после чего Valve загрузила исправление в течение 12 часов. Защита стала частью стабильного обновления 22 марта.
- Обновленная корзина и функция приватных игр вышли из беты Steam
- Steam-чарт: Helldivers 2 продолжает удерживать первую строчку
- Железо Steam за февраль: Число пользователей с 1440p мониторами выросло на 3%, RTX 3060 лидирует в сегменте видеокарт