Zgłoś błąd

X

Zanim wyślesz zgłoszenie, upewnij się że przyczyną problemów nie jest dodatek blokujący reklamy.

Typ zgłoszenia
Treść zgłoszenia
Twój email (opcjonalnie)
Nie wypełniaj tego pola
.
Załóż konto
EnglishDeutschРусскийFrançaisEspañol中国

Poważna luka zabezpieczeń Steam naraża 96 mln użytkowników

Poważna luka zabezpieczeń Steam naraża 96 mln użytkownikówPopularność Steama oznacza również większą podatność na ataki. Czterdzieści pięć dni temu posługujący się przydomkiem "Windows Priviledge Escalator" Wasilij Krawets odkrył poważną lukę zabezpieczenia (typu zero-day) platformy Valve i przedstawił ją firmie. Niestety ta nie zareagowała na jego apel o zajęcie się problemem. Dlatego też Krawets postanowił upublicznić swoje odkrycie. Potencjalnie zagrożonych jest nawet 96 milionów użytkowników Steama, a statystyki pokazują, że 72 mln z nich to posiadacze Windows 10. Luka pozwala na uzyskanie uprawnień administratorskich, a więc w teorii otwiera drogę do szeregu ataków na komputerach.

Najnowsza luka typu zero-day w Steamie naraża na niebezpieczeństwo aż 96 milionów użytkowników. Po jej upublicznieniu, Valve nadal nie odniosło się ani nie rozwiązało problemu.

Poważna luka zabezpieczeń Steam naraża 96 mln użytkowników [1]

Odkryty przez Krawetsa exploit polega na eskalację uprawnień systemu, dającą ostatecznie przywileje administratorskie. W grę wchodzi między innymi zdalna instalacja złośliwego oprogramowania, kradzież danych, wycieki haseł i prywatnych informacji. Co więcej, niektóre rodzaje ataków, jakie niesie ze sobą luka zabezpieczeń Steama nie wymagają nawet uprawnień admina. Według danych Steam z lipca 2019 z platformy korzysta przeciętnie 100 milionów użytkowników, z czego 96% z nich to posiadacze komputerów z Windowsem. Stąd też szacowana liczba potencjalnie zagrożonych 96 mln graczy (72 mln z nich używa Windows 10).

Plotka: Valve zmieni interfejs Steam nie do poznania

Poważna luka zabezpieczeń Steam naraża 96 mln użytkowników [2]

Krawets swoje odkrycie przedstawił za pomocą tzw. systemu "bug bounty", HackerOne. Początkowo zagrożenie zbagatelizowano, jednak rosyjski specjalista ds. zabezpieczeń był w stanie przekonać HackerOne do tego, by przesłać jego raport do Valve w trybie natychmiastowym. Niestety został on odrzucony. Na domiar złego złośliwy kod opublikowano już w sieci, a więc może zostać przystosowany do własnych potrzeb przez kogokolwiek ze złośliwymi zamiarami. John Opdenakker, specjalista od cyber-zagrożeń, zaleca standardowe kroki, czyli: zastosować weryfikację dwuetapową, a także nie wyłączać funkcji User Account Control. Valve na razie nie odniosło się publicznie do problemu.

Źródło: Forbes
59
Zgłoś błąd
Liczba komentarzy: 32

Komentarze:

x Wydawca serwisu PurePC.pl informuje, że na swoich stronach www stosuje pliki cookies (tzw. ciasteczka). Kliknij zgadzam się, aby ta informacja nie pojawiała się więcej. Kliknij polityka cookies, aby dowiedzieć się więcej, w tym jak zarządzać plikami cookies za pośrednictwem swojej przeglądarki.