TA STRONA UŻYWA COOKIE. Usługodawca oraz jego zaufani partnerzy korzystają z plików cookies i innych technologii automatycznego przechowywania danych do celów statystycznych, reklamowych oraz realizacji usług, w tym również aby wyświetlać użytkownikom najbardziej dopasowane oferty i reklamy.
Usługodawca i jego zaufani partnerzy wymagają zgody użytkownika na gromadzenie danych w celu obsługi spersonalizowanych treści i ogłoszeń. Jeśli korzystasz ze strony instalki.pl bez zmiany ustawień przeglądarki, to oznacza to, że nie wyrażasz sprzeciwu co do otrzymywania wszystkich plików cookies na swoje urządzenie ze strony instalki.pl.
Dowiedz się więcej o celu ich używania i zmianie ustawień cookie w przeglądarce.
Od dnia 25.05.2018 r. na terenie Unii Europejskiej wchodzi w życie Rozporządzenie Parlamentu Europejskiego w sprawie ochrony danych osobowych. Prosimy o zapoznanie się z regulaminem oraz polityką prywatności serwisu  [X]
Instalki.pl » Aktualności » Bezpieczeństwo » W Steam znaleziono krytyczną lukę! 100 milionów osób zagrożonych
Piątek, 09 Sierpień 2019 11:37, Wpisany przez Maksym Słomski
steam luka
Popularna platforma do gier jest niebezpieczna.

Wygląda na to, że Valve nie stanęło na wysokości zadania. Popularna aplikacja Steam ma lukę typu zero-day, która naraża na niebezpieczeństwo ponad 100 milionów użytkowników platformy dystrybucji cyfrowej. Pozwala ona cyberprzestępcom uzyskać dostęp do przywilejów administratora poprzez eskalację uprawnień.

Za opublikowanie informacji o wrażliwości odpowiedzialni są Felix i Matt Nelson, którzy podzielili się nią na Twitterze. Postanowili to zrobić publicznie, gdyż Valve zupełnie zignorowało zagrożenie, określając je mianem "nie mającego żadnego praktycznego zastosowania". Firma nie nagrodziła także mężczyzn odpowiedzialnych za wykrycie podatności.



Felerną okazuje się usługa Steam Client Service, która może zostać uruchomiona lub zatrzymana przez użytkowników bez stosownych uprawnień systemowych. Dlaczego jest to problemem? Po uruchomieniu Steam Client Service automatycznie przyznaje uprawnienia w pewnym zakresie kluczy rejestru. Cyberprzestępcy poprzez dowiązanie symboliczne mogą powiązać taki klucz z kluczem z innego serwisu, mogąc przejąć nad nim w ten sposób kontrolę i zatrzymać go. Dotyczy to także procesów takich jak msiserver należącego do Windows Installera.

Wbrew temu co sądzi Valve, metoda działa w praktyce, co demonstrował Matt Nelson, jeden ze specjalistów odpowiedzialnych za odkrycie luki. Sprawdził to również Jim Salter z ArsTechnica, który w swoim artykule zaprezentował, że Steam faktycznie jest dziurawy.

ars technica
Źródło: Ars Technica

Wszystkie powyższe otwierają szeroko furtkę aplikacjom typu malware, które po przypisaniu uprawnień administratora mogą wyrządzić na zainfekowanym komputerze poważne szkody. Co gorsza, nawet nieuczciwi deweloperzy gier mogą umieścić w swoich produkcjach kod, który będzie w stanie odtworzyć wszystkie kroki niezbędne do przejęcia kontroli nad komputerem danego użytkownika.

Valve nie skomentowało jeszcze sprawy.

Źródło: Twitter, ArsTechnica