Valve закрыла эксплойт в движке Source, позволявший выполнять произвольный код — осталось еще несколько
Компании было известно об эксплойте как минимум на протяжении двух лет.
Сотрудники Valve исправили как минимум один эксплойт, обнаруженный членами команды Secret Club в продуктах компании. Исследователь безопасности под ником Florian рассказал, что компания закрыла эксплойт в движке Source, обнаруженный им около двух лет назад.
Сообщив Valve об этом эксплойте, Florian несколько раз пытался связаться с компанией — хотя эксплойт был отмечен как подтвержденный, Valve его все-таки не устранила. При этом, отмечает исследователь, полгода назад Valve выплатила ему вознаграждение за обнаружение эксплойта.
По всей видимости, эксплойт закрыли только после того, как члены Secret Club публично рассказали о существовании нескольких уязвимостях в продуктах Valve. Сама компания публично не комментировала действия исследователей.
Теперь, пишет Florian, у него есть разрешение опубликовать технические детали эксплойта и рассказать, как он работал. Известно, что эксплойт связан с механизмом инвайтов в Steam; вот так с его помощью запускают приложение на удаленном PC.
Об исправлении остальных эксплойтов пока не сообщалось. Тем временем члены Secret Club и их коллеги продолжают сообщать об уязвимостях, о которых Valve знает, но не устраняет.
- Гейб Ньюэлл: к концу года игроки узнают, что Steam думает о выпуске игр на консолях
- «Valve наносит ущерб»: основатель Wolfire объясняет, почему подал групповой иск против Valve
- Моддер попробует вернуть в Cyberpunk 2077 бег по стенам
- Воскрешая зло: создатели Diablo 2 Resurrected рассказывают об игре и бета-тесте
- Исследователи: в играх Valve есть критические уязвимости — компания знает о них, но не исправляет
- Суд приказал Steam дать Apple данные по 436 играм в рамках иска Epic Games
