Головна » Технології / Новини ІТ » У Steam для Windows виявили серйозну проблему в безпеці

Експерти попереджають, що популярна ігрова платформа Valve для ПК – Steam, схильна до серйозної уразливості, пов’язаної з нульовим днем ​​безпеки. Згідно з новими даними, близько 72 млн користувачів Windows піддаються ризику захоплення своїх комп’ютерів зловмисником, який потім може встановити шкідливе ПЗ, вкрасти дані, зламати паролі тощо.



Уразливість розкрив дослідник безпеки Василь Кравець, який виявив, що вона може дозволити зловмиснику з мінімальними правами доступу для користувачів отримати ті ж рівні доступу, що і системний адміністратор.

«Зловмисник може скористатися цим, запустивши шкідливе ПЗ з використанням цих підвищених привілеїв. Деякі загрози залишаться навіть запущеними без прав адміністратора. Високі права шкідливих програм можуть значно збільшити ризики, програми можуть відключити антивірус, використовувати глибокі й темні місця, щоб приховати і змінити практично будь-який файл будь-якого користувача, навіть вкрасти особисті дані».

У Steam для Windows виявили серйозну проблему в безпеці

Уразливість в Steam

Сама уразливість впливає на клієнтську службу Steam, яка запускається з повними системними привілеями у Windows. Кравець знайшов спосіб змінити системний реєстр, щоб сервіс Steam міг використовуватися для запуску іншої програми, але з такими ж підвищеними привілеями.

На жаль, доказ концептуального коду вже було надано дослідником безпеки Меттом Нельсоном. І це робить уразливість ще більш серйозною, оскільки потенційні зловмисники тепер знають, як її використовувати. Кравець розкрив свої висновки за 45 днів після подачі звіту у Valve. Зазвичай дослідники чекають 90 днів, перш ніж публічно розкрити інформацію про уразливість, оскільки це дає організаціям час для усунення проблеми в їхньому програмному забезпеченні.

Уразливість ще не була усунена, тому що Кравець спочатку повідомив про неї, використовуючи систему винагород за помилки HackerOne. Його звіт був спочатку відхилений HackerOne через те, що він вийшов за рамки видимості. Оскільки атака вимагала «можливості скидати файли в довільних місцях у файловій системі користувача». Після того, як він переконав HackerOne в тому, що уразливість дійсна і серйозна, його звіт був відправлений у Valve і знову був відхилений за кілька тижнів.

Щоб не стати жертвою атаки, рекомендується слідувати стандартним протоколам безпеки. В тому числі не використовувати піратське програмне забезпечення і не використовувати повторно паролі для кількох сайтів та служб. А також активувати двофакторну автентифікацію і завантажувати останні системні оновлення і виправлення.

Поділитися:

Оцініть чи сподобалась Вам новина :)

1 зірка2 зірки3 зірки4 зірки5 зірок [Ще немає оцінок]

Новини партнерів

E-mail розсилка Pingvin Pro

Якщо Ви хочете отримувати статті по e-mail, пропонуємо підписатися на нашу електронну розсилку. Просто введіть свій e-mail нижче та натисніть кнопку «Підписатися».

Якій операційній системі ви надасте перевагу?

Переглянути результати

Схожі новини

Новини ІТ

Команда sudo в Linux та macOS виявилась під загрозою

Якщо ви використовували командний рядок в Linux або в UNIX-подібній macOS, ви, напевно, знайомі з командою sudo. Вона дозволяє виконувати завдання з різними дозволами (зазвичай з вищими), ніж з тими, які вам доступні зазвичай. Це доволі «потужна» команда, однак зі своїми нюансами. Розробники виявили і вже виправили недолік у sudo, який дозволяє вам вимагати доступ до […]


Новини ІТ

В Google Play виявили 15 додатків зі шкідливим ПЗ

Дослідники з кібербезпеки Sophos Labs виявили безліч проблем в застосунках у магазині Google Play. Фахівці стверджують, що виявили в магазині 15 програм, заражених шкідливим ПЗ. Згідно зі свідченнями декількох жертв, ці програми постійно атакує користувача рекламою. День і ніч, на головному екрані, під час дзвінків. І вимкнення смартфона теж не допоможе. Підписуйтесь на Pingvin Pro у Telegram […]


Новини партнерів

Улюблене 0
Відкрити сторінку улюбленого Продовжити перегляд