Все новости
Это интересно
Сейчас читают
Valve
Аватар Evernews Evernews

В клиенте Steam нашли уязвимость с получением всех привилегий, Valve не планирует ее исправлять

10
0
Поделиться
Телеграфировать

Теоретически эта уязвимость позволяет любой игре установить, например, майнер.

В клиенте Steam нашли уязвимость с получением всех привилегий, Valve не планирует ее исправлять

В клиенте Steam существует уязвимость, позволяющая повышать привилегии пользователя на любом компьютере, где установлено приложение. О существовании уязвимости рассказал исследователь безопасности Василий Кравец из компании «Перспективный мониторинг».

Как объясняет Василий, уязвимость было достаточно легко обнаружить. С ее помощью любое приложение — например, бесплатная игра, созданная неизвестным разработчиком, которую решил установить пользователь — может сделать на PC практически что угодно.

Довольно иронично обнаружить, что лаунчер, который фактически предназначен для того, чтобы запускать сторонние программы на вашем компьютере, позволяет им втихую получить максимальные привилегии. Вы уверены, что бесплатная игра, сделанная на коленке неизвестным разработчиком, будет вести себя честно?

Василий Кравец

Исследователь сообщил Valve об обнаруженной проблеме, однако компания не стала ее исправлять. Согласно сообщению, полученному от представителя Valve, «атака требует физический доступ к устройству пользователя». Чисто технически это не так; как полагает исследователь, Valve не заинтересована в исправлении аналогичных уязвимостей.

По словам Кравеца, уязвимость удалось воспроизвести на Windows 8 x64, Windows 8.1 x64 и Windows 10 x64. Василий решил рассказать о ее существовании через 45 дней после отправки отчета Valve; за день до публикации компания выпустила обновление для Steam, однако ошибку оно не исправило.

Я очень разочарован. Серьезная компания, которая пишет пафосные слова о том, что безопасность важна, открывает ваш компьютер для максимального доступа любым программам, которые вы запускаете.

Василий Кравец

Использовать уязвимость, отмечает Кравец, достаточно легко. Хотя Василий не нашел других ее описаний, он допускает, что эксплойт был найден и до его отчета.

Примечательно, что сейчас в Steam можно выпустить игру без контроля со стороны Valve: разработчикам нужно лишь пройти первичную проверку со стороны компании. Например, так в магазине появилась откровенно пранковая Cyberprank 2069, продававшаяся за 259 рублей и позже убранная с площадки.

Читать далее
Какую из этих игр вы будете проходить в первую очередь?
Civilization VII
346 голосов, 12.8%
Kingdom Come Deliverance II
1546 голосов, 57.1%
Assassins Creed Shadows
481 голос, 17.8%
Monster Hunter Wilds
109 голосов, 4.0%
Avowed
119 голосов, 4.4%
Like a Dragon: Pirate Yakuza in Hawaii
105 голосов, 3.9%
Теги: Valve, Игры, Steam
Аватар Evernews
Evernews
8068 подписчиков