百万发登入

安全研究员发现Steam重大安全漏洞 电脑可能变成矿机

10: 06: 50 White Jade Creative

根据reddit用户的说法,安全研究员Vasily Kravets最近在Steam中发现了一个主要的安全漏洞。据报道,一些犯罪分子甚至可以利用这个漏洞将玩家的PC变成采矿机器。消息传出后,立即引起了许多网友的关注。

据报道,Steam中的安全漏洞并不复杂:为了某些内部目的,Steam在播放器的计算机上安装了“Steam客户端服务”(考虑)。这意味着“用户”组中的任何用户都可以启动或停止该服务。

这是什么意思?

当Steam客户端运行时,它将自动为一系列注册表项提供权限。如果一些别有用心的人使用特殊方法(符号链接)将这些权限授予另一个服务,那么任何用户都可以启动和停止此服务。这意味着如果用户在其计算机上安装了Steam,则可以运行具有最高权限的任何程序。

危害有多大?

根据安全研究员Vasily Kravets的说法,这个漏洞的危险在于Steam这次安装的客户端服务(实际设计用于在用户的计算机上运行第三方程序)将允许一些启动程序获取用户的计算机。最高权威。玩家可能已经在Steam上看过一些免费游戏(当然,还有相当多的垃圾),但是没有人可以保证一些别有用心的人(或开发者)不会让玩家的计算机漏掉漏洞。服务。此外,由于这些程序具有最高权限,因此一些潜在的危险可能超出管理员权限,造成更多损害,例如禁用防病毒软件,隐藏和更改用户计算机上的任何文件,甚至窃取个人隐私。

早在6月15日,安全研究员Vasily Kravets通过HackerOne报告了Valve的漏洞,但在6月16日?琀ackerOne的员工因某种原因说“不适用”。经过讨论,7月20日,HackerOne工作人员再次将该报告标记为“不适用”。 8月7日,也就是安全研究员瓦西里克拉维茨(Vasily Kravets)首次报告后的第45天,他不得不公开漏洞,并希望Steam开发人员及时修复它。

瓦西里克拉维茨说:“我不是第一个找到漏洞的人,但这是第一个分析的人.V机构的态度使我感到惊讶并使我失望。我从没想过,一个严谨的大公司实际上给了我一个不可预知的回答这个漏洞。我说很难理解,很难接受这家公司的做法。我不建议玩家去掉Steam,但我希望每个人在使用时都能多关注。

但是,这件事实际上还没有完成。

7月20日,当Vasily Kravets的漏洞报告被拒绝时,他告知相关人员(HackerOne员工),漏洞信息将在7月30日之后发布;

8月2日,一名HackerOne员工禁止Vasily Kravets透露更多细节;

8月6日,Steam已更新,但相关漏洞未得到修复;

值得一提的是,在《Abstractism》涉嫌捆绑用户“挖掘”之前已经有独立游戏遭到Steam的强制下架。至于何时V将解决漏洞并做出进一步的回复,请同时关注我们的后续报告。

根据reddit用户的说法,安全研究员Vasily Kravets最近在Steam中发现了一个主要的安全漏洞。据报道,一些犯罪分子甚至可以利用这个漏洞将玩家的PC变成采矿机器。消息传出后,立即引起了许多网友的关注。

据报道,Steam中的安全漏洞并不复杂:为了某些内部目的,Steam在播放器的计算机上安装了“Steam客户端服务”(考虑)。这意味着“用户”组中的任何用户都可以启动或停止该服务。

这是什么意思?

当Steam客户端运行时,它将自动为一系列注册表项提供权限。如果一些别有用心的人使用特殊方法(符号链接)将这些权限授予另一个服务,那么任何用户都可以启动和停止此服务。这意味着如果用户在其计算机上安装了Steam,则可以运行具有最高权限的任何程序。

危害有多大?

根据安全研究员Vasily Kravets的说法,这个漏洞的危险在于Steam这次安装的客户端服务(实际设计用于在用户的计算机上运行第三方程序)将允许一些启动程序获取用户的计算机。最高权威。玩家可能已经在Steam上看过一些免费游戏(当然,还有相当多的垃圾),但是没有人可以保证一些别有用心的人(或开发者)不会让玩家的计算机漏掉漏洞。服务。此外,由于这些程序具有最高权限,因此一些潜在的危险可能超出管理员权限,造成更多损害,例如禁用防病毒软件,隐藏和更改用户计算机上的任何文件,甚至窃取个人隐私。

早在6月15日,安全研究员Vasily Kravets通过HackerOne报告了Valve的漏洞,但在6月16日,HackerOne的员工因某种原因说“不适用”。经过讨论,7月20日,HackerOne工作人员再次将该报告标记为“不适用”。 8月7日,也就是安全研究员瓦西里克拉维茨(Vasily Kravets)首次报告后的第45天,他不得不公开漏洞,并希望Steam开发人员及时修复它。

瓦西里克拉维茨说:“我不是第一个找到漏洞的人,但这是第一个分析的人.V机构的态度使我感到惊讶并使我失望。我从没想过,一个严谨的大公司实际上给了我一个不可预知的回答这个漏洞。我说很难理解,很难接受这家公司的做法。我不建议玩家去掉Steam,但我希望每个人在使用时都能多关注。

但是,这件事实际上还没有完成。

7月20日,当Vasily Kravets的漏洞报告被拒绝时,他告知相关人员(HackerOne员工),漏洞信息将在7月30日之后发布;

8月2日,一名HackerOne员工禁止Vasily Kravets透露更多细节;

8月6日,Steam已更新,但相关漏洞未得到修复;

值得一提的是,在《Abstractism》涉嫌捆绑用户“挖掘”之前已经有独立游戏遭到Steam的强制下架。至于何时V将解决漏洞并做出进一步的回复,请同时关注我们的后续报告。