Poważna luka w aplikacji Steam. Zagrożonych jest prawie 100 mln użytkowników
Program Steam, który daje dostęp do bardzo popularnej platformy dla graczy firmy Valve, ma mieć groźną lukę w zabezpieczeniach. Na potencjalnych atak podatnych może być prawie 100 mln użytkowników.Krytyczną lukę w zabezpieczeniach aplikacji Steam odkryć miał Vasily Kravets. Już 45 dni temu miał on skontaktować się z Valve i poinformować firmę o problemie. Brak odzewu ze strony twórców Steama sprawił, że Kravets swoje odkrycie ujawnił za pośrednictwem usługi mikroblogowej Twitter, o czym doniósł m.in. serwis Forbes.
09.08.2019 | aktual.: 09.08.2019 20:59
Groźna luka w aplikacji Steama
Błąd w zabezpieczeniach programu Valve związany jest usługą Steam Client Service, która na komputerach z Windowsem uruchamiana jest uprawnieniami administratora. Zmiany w systemowy rejestrze mają umożliwiać wykorzystanie jej użytkownikom z ograniczonymi uprawnieniami do odpalania programów z pełnymi prawami administratora.
Oznacza to, że program Steam może być furtką dla hakerów do infekowania urządzeń malware’em. Krytyczna luka może być wykorzystana do łatwego zdobycia uprawnień systemowych i bezproblemowego egzekwowania złośliwego kodu. Może prowadzić to do wykradania prywatnych danych oraz kradzieży pieniędzy.
Istnienie problemu z zabezpieczeniami potwierdzić miał również Matt Nelson, który na co dzień zajmuje się kwestiami bezpieczeństwa. Problem dotyczyć ma ponad 96 mln użytkowników aplikacji Steam na komputerach z Windowsem, z czego aż 72 proc. używa najnowszej wersji 10.
Co Valve robi z luką w Steamie?
Vasily Kravets wskazał, że luka została początkowo zgłoszona za pomocą systemu HackerOne (służy do wykrywania błędów), który wspierany jest przez Valve. Jego raport został najpierw odrzucony, ale - po ponownym kontakcie - przyznano mu rację i poproszono o zachowanie sprawy w tajemnicy.
Użytkownik niedawno stwierdził jednak, że Steam nie robi nic w temacie naprawienia luki, więc postanowił nie czekać 90 dni (firmom daje się zazwyczaj kwartał na wydanie odpowiedniej łatki bezpieczeństwa). Problem na forum publicznym został ujawniony już po 45 dniach, co ma zmusić twórców usługi do szybkiej reakcji.
Steam póki co nie wydał komentarza w tej sprawie. Zespół HackerOne wskazał z kolei, że rozmawia obecnie ze "sfrustrowanym programistą".