Valve закрыла эксплойт в движке Source, позволявший выполнять произвольный код — осталось еще несколько
Компании было известно об эксплойте как минимум на протяжении двух лет.
Кстати, на сайте читать удобнее
Сотрудники Valve исправили как минимум один эксплойт, обнаруженный членами команды Secret Club в продуктах компании. Исследователь безопасности под ником Florian рассказал, что компания закрыла эксплойт в движке Source, обнаруженный им около двух лет назад.
Сообщив Valve об этом эксплойте, Florian несколько раз пытался связаться с компанией — хотя эксплойт был отмечен как подтвержденный, Valve его все-таки не устранила. При этом, отмечает исследователь, полгода назад Valve выплатила ему вознаграждение за обнаружение эксплойта.
По всей видимости, эксплойт закрыли только после того, как члены Secret Club публично рассказали о существовании нескольких уязвимостях в продуктах Valve. Сама компания публично не комментировала действия исследователей.
Теперь, пишет Florian, у него есть разрешение опубликовать технические детали эксплойта и рассказать, как он работал. Известно, что эксплойт связан с механизмом инвайтов в Steam; вот так с его помощью запускают приложение на удаленном PC.
Об исправлении остальных эксплойтов пока не сообщалось. Тем временем члены Secret Club и их коллеги продолжают сообщать об уязвимостях, о которых Valve знает, но не устраняет.
- Гейб Ньюэлл: к концу года игроки узнают, что Steam думает о выпуске игр на консолях
- «Valve наносит ущерб»: основатель Wolfire объясняет, почему подал групповой иск против Valve
- Моддер попробует вернуть в Cyberpunk 2077 бег по стенам
- Воскрешая зло: создатели Diablo 2 Resurrected рассказывают об игре и бета-тесте
- Исследователи: в играх Valve есть критические уязвимости — компания знает о них, но не исправляет
- Суд приказал Steam дать Apple данные по 436 играм в рамках иска Epic Games