Все новости
Это интересно
Сейчас читают
Valve
Аватар Evernews Evernews

В клиенте Steam закрыли уязвимость, существовавшую на протяжении 10 лет

4
1
Поделиться
Телеграфировать

С помощью уязвимости хакеры могли запускать произвольный код на компьютерах жертв.

В клиенте Steam закрыли уязвимость, существовавшую на протяжении 10 лет

В начале 2018 года Valve закрыла серьезную брешь в безопасности клиента Steam. Уязвимость была обнаружена компанией Context Information Security, занимающейся информационной безопасностью. В Context уверены, что эта уязвимость существовала на протяжении примерно десятка лет.

Проблема заключалась в библиотеке steamclient.dll, описывающей протокол взаимодействия клиента с удаленным сервером Valve: там отсутствовала проверка на размер первого пакета полученных данных. Сам по себе этот баг может привести только к вылету клиента Steam, однако до июля 2017 года Valve не применяла в клиентском приложении технологию рандомизации адресного пространства ASLR.

Благодаря отсутствию ASLR хакеры могли получить доступ к нужной области памяти удаленного PC с помощью специально сконфигурированного пакета данных и выполнить на компьютере жертвы произвольный код.

Полное описание уязвимости опубликовано на сайте Context Information Security, там же приводится короткая, но эффектная демонстрация эксплойта с удаленным запуском калькулятора. В компании отмечают, что Valve закрыли уязвимость очень быстро: первый патч вышел уже через 8 часов после сообщения о проблеме.

Читать далее
За сколько вы готовы купить GTA VI?
До 8000 рублей
315 голосов, 5.6%
До 7000 рублей
96 голосов, 1.7%
До 6000 рублей
127 голосов, 2.3%
До 5000 рублей
566 голосов, 10.0%
До 4000 рублей
151 голос, 2.7%
До 3000 рублей
263 голоса, 4.7%
До 2000 рублей
647 голосов, 11.5%
За любые деньги
306 голосов, 5.4%
Ни за сколько, я пират
3161 голос, 56.1%
Теги: Valve, Игры, Steam
Аватар Evernews
Evernews
8074 подписчика