研究人员发现Steam 0Day漏洞,Valve完全忽略了这一漏洞。

文章来源:极速分分彩计划 时间:2019-08-12 16:31

黑客和安全研究人员一直在寻找软件,网站,服务等方面的漏洞。通常,原因很简单。他们只是想知道他们是否可以做到。其他时候,某种金钱奖励正在发挥作用。


在这个特殊漏洞的情况下,Vasily Kravets只是在确定问题时检查了Steam Windows客户端的安全性。这有点复杂,但正如Vasily Kravets所解释的那样,最终结果是该漏洞允许任何程序在Steam安装的任何PC上以最高权限运行。


理论上,成千上万通过Steam发布内容的开发人员中的一个可以利用此漏洞并轻松感染主机。


您可能会认为Valve会在发现漏洞后立即关闭漏洞,但您会错。Vasily Kravets向Valve通报了这个问题,但他们最初表示这不适用。研究人员使用了反向通道,最后,Valve注意到了,但只是再次忽略了漏洞。实际上,在HackerOne上报告的漏洞被标记为“需要能够在用户文件系统上的任意位置删除文件的攻击”和“需要物理访问用户设备的攻击”。


请记住,所有这些步骤对公众来说都不透明,这使公司有机会在漏洞利用公开之前将其插入。这正是Vasily Kravets发布有关漏洞的所有细节时发生的事情。从它的外观来看,Valve继续忽略这个问题,他们甚至发布了客户端的更新,但没有修复。就目前而言,漏洞利用已公开,Steam用户暴露无遗。


更多