В бете Steam исправили уязвимость с получением максимальных прав
Ранее Valve отказывалась считать ее уязвимостью.
Ночью 10 августа вышла новая бета-версия клиента Steam. Помимо исправления ряда ошибок в бета-версии закрыта уязвимость, позволявшая повышать привилегии пользователя на любом компьютере, где установлено приложение.
О существовании уязвимости рассказал исследователь безопасности Василий Кравец из компании «Перспективный мониторинг». По словам Василия, он сообщил о ней Valve еще 2 июля, однако компания отказалась считать находку уязвимостью.
В сообщении Valve отмечалось, что для использования уязвимости нужен физический доступ к устройству пользователя, однако это не так. Журналисты ArsTechnica протестировали работу уязвимости, подтвердили выводы Кравеца и запросили комментарий у Valve; его не последовало.
Примечательно, что Кравец сообщил об уязвимости с помощью сервиса HackerOne, выбранного Valve для работы с исследователями безопасности. За обнаружение полагается награда — судя по патчу, теперь Valve все-таки считает ее уязвимостью — но Василий пока не сообщил, связывались ли с ним представители компании.
- В клиенте Steam нашли еще одну уязвимость с выполнением произвольного кода
- В Steam исправили эксплойт с получением максимальных прав — оказалось, есть еще лазейка
- Против Epic Games подан групповой иск из-за взлома профилей в Fortnite
- За угрозы сжечь офис Square Enix арестовали 40-летнего японца
- В клиенте Steam нашли уязвимость с получением всех привилегий, Valve не планирует ее исправлять
- Valve об экспериментах в Steam: ИИ-рекомендации приняли хорошо, шоу про игры — не очень
