Головна » Технології / Новини ІТ » У Steam для Windows виявили серйозну проблему в безпеці

Експерти попереджають, що популярна ігрова платформа Valve для ПК – Steam, схильна до серйозної уразливості, пов’язаної з нульовим днем ​​безпеки. Згідно з новими даними, близько 72 млн користувачів Windows піддаються ризику захоплення своїх комп’ютерів зловмисником, який потім може встановити шкідливе ПЗ, вкрасти дані, зламати паролі тощо.

Ми в соцмережах




Уразливість розкрив дослідник безпеки Василь Кравець, який виявив, що вона може дозволити зловмиснику з мінімальними правами доступу для користувачів отримати ті ж рівні доступу, що і системний адміністратор.

«Зловмисник може скористатися цим, запустивши шкідливе ПЗ з використанням цих підвищених привілеїв. Деякі загрози залишаться навіть запущеними без прав адміністратора. Високі права шкідливих програм можуть значно збільшити ризики, програми можуть відключити антивірус, використовувати глибокі й темні місця, щоб приховати і змінити практично будь-який файл будь-якого користувача, навіть вкрасти особисті дані».

У Steam для Windows виявили серйозну проблему в безпеці

Уразливість в Steam

Сама уразливість впливає на клієнтську службу Steam, яка запускається з повними системними привілеями у Windows. Кравець знайшов спосіб змінити системний реєстр, щоб сервіс Steam міг використовуватися для запуску іншої програми, але з такими ж підвищеними привілеями.

На жаль, доказ концептуального коду вже було надано дослідником безпеки Меттом Нельсоном. І це робить уразливість ще більш серйозною, оскільки потенційні зловмисники тепер знають, як її використовувати. Кравець розкрив свої висновки за 45 днів після подачі звіту у Valve. Зазвичай дослідники чекають 90 днів, перш ніж публічно розкрити інформацію про уразливість, оскільки це дає організаціям час для усунення проблеми в їхньому програмному забезпеченні.

Уразливість ще не була усунена, тому що Кравець спочатку повідомив про неї, використовуючи систему винагород за помилки HackerOne. Його звіт був спочатку відхилений HackerOne через те, що він вийшов за рамки видимості. Оскільки атака вимагала «можливості скидати файли в довільних місцях у файловій системі користувача». Після того, як він переконав HackerOne в тому, що уразливість дійсна і серйозна, його звіт був відправлений у Valve і знову був відхилений за кілька тижнів.

Щоб не стати жертвою атаки, рекомендується слідувати стандартним протоколам безпеки. В тому числі не використовувати піратське програмне забезпечення і не використовувати повторно паролі для кількох сайтів та служб. А також активувати двофакторну автентифікацію і завантажувати останні системні оновлення і виправлення.

Якщо Ви знайшли помилку, будь ласка, виділіть фрагмент тексту та натисніть Ctrl+Enter.
Поділитися:

Новини партнерів

Правила коментування

Вітаємо Вас на сайті Pingvin Pro. Ми докладаємо всіх зусиль, аби переконатися, що коментарі наших статей вільні від тролінгу, спаму та образ. Саме тому, на нашому сайті включена премодерація коментарів. Будь ласка, ознайомтеся з кількома правилами коментування.

  1. Перш за все, коментування відбувається через сторонній сервіс Disqus. Модератори сайту не несуть відповідальність за дії сервісу.
  2. На сайті ввімкнена премодерація. Тому ваш коментар може з’явитися не одразу. Нам теж інколи треба спати.
  3. Будьте ввічливими – ми не заохочуємо на сайті грубість та образи. Пам’ятайте, що слова мають вплив на людей! Саме тому, модератори сайту залишають за собою право не публікувати той чи інший коментар.
  4. Будь-які образи, відкриті чи завуальовані, у бік команди сайту, конкретного автора чи інших коментаторів, одразу видаляються. Агресивний коментатор може бути забанений без попереджень і пояснень з боку адміністрації сайту.
  5. Якщо вас забанили – на це були причини. Ми не пояснюємо причин ані тут, ані через інші канали зв’язку з редакторами сайту.
  6. Коментарі, які містять посилання на сторонні сайти чи ресурси можуть бути видалені без попереджень. Ми не рекламний майданчик для інших ресурсів.
  7. Якщо Ви виявили коментар, який порушує правила нашого сайту, обов’язково позначте його як спам – модератори цінують Вашу підтримку.

Яким месенджером Ви користуєтесь найчастіше?

Переглянути результати

E-mail розсилка Pingvin Pro

Якщо Ви хочете отримувати статті по e-mail, пропонуємо підписатися на нашу електронну розсилку. Просто введіть свій e-mail нижче та натисніть кнопку «Підписатися».

Схожі новини

Новини ІТ

Microsoft Defender визнали найкращим антивірусом для Windows 10

Згідно зі звітом, опублікованим AV-TEST, Microsoft Defender – кращий антивірус для ПК з Windows 10. Ось вже другий рік поспіль безкоштовне антивірусне програмне забезпечення Microsoft очолює список кращих антивірусних інструментів AV-Test для Windows 10. Ми в соцмережах Microsoft допоможе покращити супутниковий Інтернет Starlink Microsoft почала випуск оновлення Windows 10 20H2 Acer представила ноутбук Spin 5, […]


Новини ІТ

Microsoft почала випуск оновлення Windows 10 20H2

Компанія Microsoft почала розгортання Windows 10 20H2. З точки зору функціональності, це не дуже серйозне оновлення. Однак, воно в будь-якому випадку важливе для користувачів. До речі, це перша версія ОС, яка поставляється з браузером Edge на основі Chromium. Microsoft стверджує, що це «кращий браузер з більшою продуктивністю, більшою конфіденційністю та цінністю». З моменту запуску, кожні шість тижнів […]


Новини партнерів

Повідомити про помилку

Текст, який буде надіслано нашим редакторам: