В клиенте сервиса Steam исправлена критическая уязвимость 10-летней давности
Компания Valve исправила критическую уязвимость в сервисе Steam, затрагивавшую все версии игрового клиента, выпущенные за последние десять лет.
По словам исследователя безопасности из Context Information Security Тома Корта (Tom Court), обнаружившего проблему, данная уязвимость позволяла злоумышленнику выполнить вредоносный код в любой из версий приложения.
Основная причина проблемы кроется в уязвимости переполнения буфера в одной из многочисленных внутренних библиотек Steam, в частности в коде Steam, отвечающем за обработку фрагментированных датаграмм UDP.
По словам специалиста, особую опасность проблема представляла до июля 2017 года, когда Valve добавила защиту ASLR в клиент Steam. Данная функция безопасности затруднила эксплуатацию уязвимости, однако она все еще предоставляла возможность вызвать сбой в клиенте Steam.
Исследователь уведомил компанию о проблеме 20 февраля текущего года. Патч был выпущен 4 апреля, однако исследователь раскрыл информацию о своей находке лишь спустя почти два месяца, чтобы дать время пользователям на обновление.
Видео с демонстрацией атаки:
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш