Експерти попереджають, що популярна ігрова платформа Valve для ПК – Steam, схильна до серйозної уразливості, пов’язаної з нульовим днем безпеки. Згідно з новими даними, близько 72 млн користувачів Windows піддаються ризику захоплення своїх комп’ютерів зловмисником, який потім може встановити шкідливе ПЗ, вкрасти дані, зламати паролі тощо.
- Android-смартфони можна зламати через Wi-Fi
- Принтери відомих брендів мають проблеми з безпекою
- Оновлення Windows 10 збільшить автономність ноутбуків
Уразливість розкрив дослідник безпеки Василь Кравець, який виявив, що вона може дозволити зловмиснику з мінімальними правами доступу для користувачів отримати ті ж рівні доступу, що і системний адміністратор.
«Зловмисник може скористатися цим, запустивши шкідливе ПЗ з використанням цих підвищених привілеїв. Деякі загрози залишаться навіть запущеними без прав адміністратора. Високі права шкідливих програм можуть значно збільшити ризики, програми можуть відключити антивірус, використовувати глибокі й темні місця, щоб приховати і змінити практично будь-який файл будь-якого користувача, навіть вкрасти особисті дані».
Уразливість в Steam
Сама уразливість впливає на клієнтську службу Steam, яка запускається з повними системними привілеями у Windows. Кравець знайшов спосіб змінити системний реєстр, щоб сервіс Steam міг використовуватися для запуску іншої програми, але з такими ж підвищеними привілеями.
На жаль, доказ концептуального коду вже було надано дослідником безпеки Меттом Нельсоном. І це робить уразливість ще більш серйозною, оскільки потенційні зловмисники тепер знають, як її використовувати. Кравець розкрив свої висновки за 45 днів після подачі звіту у Valve. Зазвичай дослідники чекають 90 днів, перш ніж публічно розкрити інформацію про уразливість, оскільки це дає організаціям час для усунення проблеми в їхньому програмному забезпеченні.
Уразливість ще не була усунена, тому що Кравець спочатку повідомив про неї, використовуючи систему винагород за помилки HackerOne. Його звіт був спочатку відхилений HackerOne через те, що він вийшов за рамки видимості. Оскільки атака вимагала «можливості скидати файли в довільних місцях у файловій системі користувача». Після того, як він переконав HackerOne в тому, що уразливість дійсна і серйозна, його звіт був відправлений у Valve і знову був відхилений за кілька тижнів.
Щоб не стати жертвою атаки, рекомендується слідувати стандартним протоколам безпеки. В тому числі не використовувати піратське програмне забезпечення і не використовувати повторно паролі для кількох сайтів та служб. А також активувати двофакторну автентифікацію і завантажувати останні системні оновлення і виправлення.
Правила коментування
Вітаємо Вас на сайті Pingvin Pro. Ми докладаємо всіх зусиль, аби переконатися, що коментарі наших статей вільні від тролінгу, спаму та образ. Саме тому, на нашому сайті включена премодерація коментарів. Будь ласка, ознайомтеся з кількома правилами коментування.
- Перш за все, коментування відбувається через сторонній сервіс Disqus. Модератори сайту не несуть відповідальність за дії сервісу.
- На сайті ввімкнена премодерація. Тому ваш коментар може з’явитися не одразу. Нам теж інколи треба спати.
- Будьте ввічливими – ми не заохочуємо на сайті грубість та образи. Пам’ятайте, що слова мають вплив на людей! Саме тому, модератори сайту залишають за собою право не публікувати той чи інший коментар.
- Будь-які образи, відкриті чи завуальовані, у бік команди сайту, конкретного автора чи інших коментаторів, одразу видаляються. Агресивний коментатор може бути забанений без попереджень і пояснень з боку адміністрації сайту.
- Якщо вас забанили – на це були причини. Ми не пояснюємо причин ані тут, ані через інші канали зв’язку з редакторами сайту.
- Коментарі, які містять посилання на сторонні сайти чи ресурси можуть бути видалені без попереджень. Ми не рекламний майданчик для інших ресурсів.
- Якщо Ви виявили коментар, який порушує правила нашого сайту, обов’язково позначте його як спам – модератори цінують Вашу підтримку.
Схожі новини
Купуйте Microsoft Office 2021 і Windows 11 зі знижкою до 62%
Незалежно від того, чи працюєте ви в маркетингу, фінансах чи консалтингу, ви можете скористатися інструментами, які покращують ваш робочий процес та сприяють підвищенню продуктивності. Microsoft є лідером завдяки своєму разючому асортименту програм для продуктивності, і, на щастя, її найкращий пакет Microsoft Office Professional 2021 доступний лише за $ 39.53 (типово пакет коштує $ 249) з […]
Пожиттєва ліцензія Microsoft Office 2021 та Windows 11 Pro
Ваш ПК використовує застаріле програмне забезпечення? Повільна продуктивність, відсутні функції та вразливості безпеки можуть вставляти вам палки в колеса. Але оновлення не обовʼязково має бути дорогим! Keysoff пропонує пожиттєві ліцензії на Microsoft Office та Windows 11 Pro за неперевершеними цінами. Ви можете отримати довічну ліцензію на Microsoft Office 2021 Professional прямо тут за одноразову плату […]