Баг Steam позволял хакерам удаленно управлять компьютерами в течение 10 лет
Согласно деталям эксплоита, опубликованным фирмой по безопасности Context, в Steam-клиенте на PC продолжительное время находилась опасная брешь. Баг присутствовал в клиенте на протяжении последних десяти лет и делал уязвимым PC-пользователей для удаленного контроля хакерами.
Согласно отчету, баг не оказался довольно простым и не требовал ухищрений для эксплуатации в связи с отсутствием современной защиты от атак. Компания отмечает, что Valve закрыла дыру еще в прошлом июле. Хотя нет доказательств того, что баг когда-либо использовался хакерами, но если это происходило, то позволяло удаленно запускать код на 15 миллионах активных клиентах, получая полный контроль над системой жертвы. Уязвимость была закрыта только тогда, когда Valve начала использовать современные методы борьбы с эксплоитами.
Версия бага все еще находилась в клиенте после исправления, но в худшем случае приводила только к вылету клиента. К сожалению, в комбинации с отдельной уязвимостью брешь можно было использовать для активации кода на машине жертвы.
Демонстрацию работы можно посмотреть на видео ниже.
Valve пока не прокомментировала ситуацию, однако специалист по безопасности Том Корт сообщил о бреши еще 20 февраля, после чего Valve загрузила исправление в течение 12 часов. Защита стала частью стабильного обновления 22 марта.
- Внутренняя переписка показала, что Valve — самая эффективная компания в мире
- Steam-чарт: Предзаказ Dragon's Dogma 2 ворвался в тройку
- В Steam новый рекорд — 35 миллионов одновременных пользователей