Головна » Технології / Новини ІТ » У Steam для Windows виявили серйозну проблему в безпеці

Експерти попереджають, що популярна ігрова платформа Valve для ПК – Steam, схильна до серйозної уразливості, пов’язаної з нульовим днем ​​безпеки. Згідно з новими даними, близько 72 млн користувачів Windows піддаються ризику захоплення своїх комп’ютерів зловмисником, який потім може встановити шкідливе ПЗ, вкрасти дані, зламати паролі тощо.




Уразливість розкрив дослідник безпеки Василь Кравець, який виявив, що вона може дозволити зловмиснику з мінімальними правами доступу для користувачів отримати ті ж рівні доступу, що і системний адміністратор.

«Зловмисник може скористатися цим, запустивши шкідливе ПЗ з використанням цих підвищених привілеїв. Деякі загрози залишаться навіть запущеними без прав адміністратора. Високі права шкідливих програм можуть значно збільшити ризики, програми можуть відключити антивірус, використовувати глибокі й темні місця, щоб приховати і змінити практично будь-який файл будь-якого користувача, навіть вкрасти особисті дані».

У Steam для Windows виявили серйозну проблему в безпеці

Уразливість в Steam

Сама уразливість впливає на клієнтську службу Steam, яка запускається з повними системними привілеями у Windows. Кравець знайшов спосіб змінити системний реєстр, щоб сервіс Steam міг використовуватися для запуску іншої програми, але з такими ж підвищеними привілеями.

На жаль, доказ концептуального коду вже було надано дослідником безпеки Меттом Нельсоном. І це робить уразливість ще більш серйозною, оскільки потенційні зловмисники тепер знають, як її використовувати. Кравець розкрив свої висновки за 45 днів після подачі звіту у Valve. Зазвичай дослідники чекають 90 днів, перш ніж публічно розкрити інформацію про уразливість, оскільки це дає організаціям час для усунення проблеми в їхньому програмному забезпеченні.

Уразливість ще не була усунена, тому що Кравець спочатку повідомив про неї, використовуючи систему винагород за помилки HackerOne. Його звіт був спочатку відхилений HackerOne через те, що він вийшов за рамки видимості. Оскільки атака вимагала «можливості скидати файли в довільних місцях у файловій системі користувача». Після того, як він переконав HackerOne в тому, що уразливість дійсна і серйозна, його звіт був відправлений у Valve і знову був відхилений за кілька тижнів.

Щоб не стати жертвою атаки, рекомендується слідувати стандартним протоколам безпеки. В тому числі не використовувати піратське програмне забезпечення і не використовувати повторно паролі для кількох сайтів та служб. А також активувати двофакторну автентифікацію і завантажувати останні системні оновлення і виправлення.

Якщо Ви знайшли помилку, будь ласка, виділіть фрагмент тексту та натисніть Ctrl+Enter.
Поділитися:

Новини партнерів

Правила коментування

Вітаємо Вас на сайті Pingvin Pro. Ми докладаємо всіх зусиль, аби переконатися, що коментарі наших статей вільні від тролінгу, спаму та образ. Саме тому, на нашому сайті включена премодерація коментарів. Будь ласка, ознайомтеся з кількома правилами коментування.

  1. Перш за все, коментування відбувається через сторонній сервіс Disqus. Модератори сайту не несуть відповідальність за дії сервісу.
  2. На сайті ввімкнена премодерація. Тому ваш коментар може з’явитися не одразу. Нам теж інколи треба спати.
  3. Будьте ввічливими – ми не заохочуємо на сайті грубість та образи. Пам’ятайте, що слова мають вплив на людей! Саме тому, модератори сайту залишають за собою право не публікувати той чи інший коментар.
  4. Будь-які образи, відкриті чи завуальовані, у бік команди сайту, конкретного автора чи інших коментаторів, одразу видаляються. Агресивний коментатор може бути забанений без попереджень і пояснень з боку адміністрації сайту.
  5. Якщо вас забанили – на це були причини. Ми не пояснюємо причин ані тут, ані через інші канали зв’язку з редакторами сайту.
  6. Коментарі, які містять посилання на сторонні сайти чи ресурси можуть бути видалені без попереджень. Ми не рекламний майданчик для інших ресурсів.
  7. Якщо Ви виявили коментар, який порушує правила нашого сайту, обов’язково позначте його як спам – модератори цінують Вашу підтримку.

Схожі новини

Новини ІТ

WhatsApp випустив для iOS функцію використання кількох пристроїв одночасно

WhatsApp починає розгортання функції використання кількох пристроїв одночасно в стабільній версії застосунка для iOS. Автор XDA помітив підказку використання декількох пристроїв у розділі «Пов’язані пристрої» в застосунку з App Store версії 2.21.180.14. Щойно ви погодитеся приєднатися, WhatsApp виведе вас з ваших поточних пов’язаних сеансів. Потім вам доведеться знову сканувати QR-код на всіх під’єднаних пристроях. Для Android […]


Новини ІТ

AMD випустила драйвери для Windows 11

Microsoft вже підтвердила, що випуск Windows 11 розпочнеться 5 жовтня. Компанії, як-от Intel, AMD та NVIDIA, повільно готують свої драйвери та застосунки для Windows 11. Цього року Intel та NVIDIA випустили нові драйвери, сумісні як з Windows 10 версії 21H2 (жовтневе оновлення 2021 року), так і з Windows 11. Сьогодні і AMD, нарешті, опублікувала драйвери для […]


Новини партнерів

Повідомити про помилку

Текст, який буде надіслано нашим редакторам: