[Перевод] В клиенте Steam устранили опасную уязвимость, которая пряталась там десять лет
Ведущий исследователь Том Корт из компании Context, предоставляющей услуги информационной безопасности, рассказывает о том, как ему удалось обнаружить потенциально опасный баг в коде клиента Steam.
Внимательно следящие за безопасностью PC-игроки заметили, что недавно Valve выпустила новое обновление клиента Steam.
В этом посте я хочу оправдаться за то, что мы играем в игры на работе рассказать историю связанного с этим бага, существовавшего в клиенте Steam не меньше десяти лет, который до июля прошлого года мог приводить к удалённому выполнению кода (remote code execution, RCE) во всех 15 миллионах активных клиентов.
С июля, когда Valve (наконец-то) скомпилировала свой код со включенными современными защитами от эксплойтов, он мог бы приводить всего лишь к отказу клиента, а RCE было возможно только в сочетании с отдельной уязвимостью утечки информации.
Мы заявили Valve об уязвимости 20 февраля 2018 года, и, к чести компании, она устранила её в бета-ветке меньше 12 часов спустя. Исправление было перенесено в стабильную ветку 22 марта 2018 года.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Zero Trust не спасёт, пока у вас включён SMBv1
- Claude Sonnet 4, и это самая защищенная модель? Wasted
- Zerotrust по-пацански #2. Как сделать устройство доверенным
- [Перевод] Я завайбкодил и запустил приложение за три дня. И его взломали. Дважды. Вот что я усвоил
- [Перевод] Полный захват аккаунта стоимостью $1000 — Думайте нестандартно
- Почему синтетические данные редко используются в реальных задачах
- [Перевод] Разбор уязвимости умного Bluetooth-замка
- Персональные AI-ассистенты или как открыть любому человеку свою почту и календарь
- Каким будет фишинг в ближайшем будущем
- 82% зумеров хотят, чтобы бренды обращались к ним на «вы»