Несмотря на растущий интерес крупных компаний к информационной безопасности , 2021 год показывает, что в программном обеспечении, которое мы используем каждый день, по-прежнему существуют серьезные уязвимости. На этой неделе мы узнали о серьезной уязвимости в WhatsApp, которую компания не хочет исправлять, и теперь то же самое происходит с Valve , Где три разных недостатка безопасности позволяют взять под контроль любой компьютер, на котором Steam установлен.
Базовая уязвимость была представить в Steam клиент для Windows 10 для минимум два года . Два года назад исследователи кибербезопасности из группы The Secret Club сообщили Valve о первых недостатках, но компания проигнорировала их и не ответила на них. Последнее постановление, о котором они сообщили, было пять месяцев назад, но они также были проигнорированы и даже пригрозили судебным иском, если они его опубликуют. Однако они решили сделать три ошибки общедоступными, чтобы потребовать их исправления.
Такие игры, как CS: GO, затронуты тремя глюками
Уязвимости присутствуют в все игры основаны on Двигатель Valve's Source , включая даже самую последнюю его версию. Способ активировать первую ошибку - просто приглашение на игру через ваш список друзей Steam. Если мы получим ее и отдадим в Play, игра откроется и уязвимость будет выполнена.
С этой уязвимостью злоумышленник имеет полный доступ к компьютеру , и исследователи демонстрируют успешность бреши, открыв приложение «Калькулятор». В следующем видео мы видим, как легко это можно использовать:
Неисправность также может быть использована другим способом, когда пользователю нужно только войти на сервер сообщества , которые управляются пользователями в таких играх, как CS: GO, за пределами официальных лиц Valve. Эти серверы выделяются тем, что предлагают персонализированные карты или игровые режимы, и почти во всех случаях загружаются файлы, которые могут поставить под угрозу наш компьютер. В этом случае нет необходимости даже загружать файлы, чтобы злоумышленник мог полностью получить контроль над нашим компьютером.
Существует также третий недостаток, который также приводит к удаленному выполнению кода через уязвимость нулевого дня всего за работает модифицированный в игре карта , который необходимо будет загрузить. В этом случае мы также находим видео, чтобы увидеть, как это работает:
Ошибка еще не исправлена
Хотя Valve решает или не исправляет эти три недостатка, важно не принимать приглашения в друзья от незнакомцев, не говоря уже об их приглашениях поиграть. Если вы хотите быть полностью защищены и обычно не играете с друзьями, один из вариантов - поставить себя в роли Не в сети в Список друзей , чтобы никто не мог пригласить вас поиграть или открыть для вас чат.
Проблема с этой ошибкой заключается в том, что, даже если вы избегаете приглашений от незнакомцев, эта ошибка также может прийти к вам через ваших друзей, если хакерам удалось взять под контроль ваш компьютер. Как только эксплуатировать Работы обнаружены, мы могли видеть огромный разброс злоумышленников через список друзей пользователей Steam. Взяв под свой контроль ПК, они могут не только открыть Steam, но они могут украсть ваши деньги, сообщения, файлы и т. д. Паровая охрана не принесет много пользы.