根据reddit网民的爆炸,安全研究员Vasilykravets最近发现了Steam的重大安全漏洞。据报道,一些非法者甚至可以利用这个漏洞将玩家的电脑变成矿床。新闻一出来,很快就引起了很多网民的关注。这次Steam出现的安全漏洞并不复杂。Steam为了某个内部目的(考虑到),在玩家的电脑上设置了Steam的ClientService(Steam客户端服务)。
这意味着用户组的任何用户都可以启动或停止服务。
这是什么意思?
当steam客户端运行时,将自动为一系列注册表项目的相关权限提供许可,如果一些别有用心的人利用特殊手段(符号链接),将这些权限授予另外一种服务,那么任意一位用户都可以启动和停止这项服务。这意味着用户在计算机上安装Steam时,可以使用最高权限执行任何程序。
的危害有多大?
根据安全研究者VasilyKravets,这个问题的危险性是Steam本次设置的客户服务(实际上是为了在用户计算机上运行第三者程序而设计的),允许一些启动程序获得用户计算机的最高权限。玩家们可能看过Steam上的免费游戏(当然有很多垃圾),但是没有人能保证这些开发者不会用漏洞为玩家的电脑提供采矿服务。另外,由于这些程序具有最高权限,潜在的危险超过管理者的权限,禁用防病毒软件,隐藏和变更用户计算机的文件,盗取隐私等更大的损害。
早在6月15日,安全研究人员Vasily?Kravets就通过HackerOne向Valve汇报了这个漏洞,但是到了6月16日,HackerOne的工作人员表示不适用,给出了一定的原因。经过讨论,7月20日,HackerOne工作人员再次将此次报告标注为不适用。到了8月7日,也就是安全研究员VasilyKravets初次提交报告后开发者_如何学编程的第45天,他不得不将这项漏洞公之于众,同时希望Steam开发人员及时修复。
VasilyKravets表示:“我并不是第一个发现漏洞的人,但却是第一个进行分析的人。v公司的态度令人吃惊,令人失望。没想到严格的大公司对这样的漏洞给出了意想不到的回答。我表示很难理解,也很难接受这家公司的做法。不建议玩家们删除Steam,希望大家在使用的时候多加注意。
但这件事还没有结束。
7月20日,当Vasily Kravets的漏洞报告被拒绝后,他曾经通知相关人员(HackerOne员工),将在7月30日之后公布漏洞信息;
8月2日,一位HackerOne员工禁止VasilyKravets透露更多细节;
8月6日,steam进行了更新,但是并没有修复相关的漏洞;
值得一提的是,此前曾有独立游戏《Abstractism》疑似捆绑用户“挖矿” 被Steam强制下架。至于V社何时解决漏洞并做出进一步回应,还请关注我们的后续报道。
精彩评论