В Steam больше 10 лет существовала опасная уязвимость

[Ippolitovich]

Исследователь безопасности Том Корт (Tom Court) из компании Context рассказал о том, как он помог Valve устранить уязвимость в Steam. По словам эксперта, эта брешь существовала около 10 лет и позволяла злоумышленникам получить полный контроль над компьютерами жертв.

 

Платформа цифровой дистрибуции Steam работает с 2003 года, и хотя её постоянно модифицируют, многие элементы кода являются устаревшими. Приблизительно год назад Valve встроила в Steam современные механизмы защиты от эксплоитов, которые частично исправили уязвимость, существовавшую до этого около 10 лет. В результате действий Valve стало невозможно с помощью бреши напрямую захватить компьютер жертвы, лишь вызвать сбой клиента. При этом уязвимость могла использоваться при осуществлении более сложных атак.

Сотрудник Context сообщил администрации Steam об уязвимости 20 февраля этого года. «Valve узнала о бреши из электронного письма, отправленного команде безопасности платформы... Спустя 8 часов исправление появилось в бета-ветке клиента Steam», — отметил Корт. Он подчеркнул, что это одна из самых быстрых реакций, которые можно было ждать от крупной компании. В основной клиент Steam исправление попало 21 марта, в описании обновления упоминается имя исследователя.

 

«Существование такой простой ошибки с такими серьёзными последствиями на настолько популярной программной платформе в 2018 году удивляет и должно подтолкнуть исследователей безопасности искать уязвимости и сообщать о них!», — написал Корт.