俄罗斯安全人员发现Steam程序有权限扩张漏洞,Valve在最新更新中修正

| 分类: 游戏情报 | 热度: 620 ℃

上周代号 Felix 的俄罗斯网络研究安全人员公开发表Steam在 Windows 10系统存在的漏洞,可能影响超过1亿以上 Steam 玩家电脑安全。最初 Valve 并未给予回应,如今此消息经过一周后,Steam最新的更新中已公布修正该漏洞。玩家可在登入 Steam 启动器时自动更新最新版本,修正权限扩张的漏洞。

俄罗斯安全人员发现Steam程序有权限扩张漏洞,Valve在最新更新中修正

8 月7 日,Felix 公开Steam 注册表上存在权限扩张的漏洞,表示在玩家的客户端中的基于系统权限执行的Steam Client Service 功能,任何使用者群组(user)都有权限来执行开关操作,也能存取登录机码,换句话说骇客可透过该漏洞来扩张权限,进而掌控电脑控制权。

俄罗斯安全人员发现Steam程序有权限扩张漏洞,Valve在最新更新中修正

根据Felix 记载,这项漏洞报告他已在6 月15 日时回报HackerOne 漏洞赏金平台,不过却二度被打了回票,HackerOne 回覆「攻击者必须先获得在该使用者的系统上拥有任意删除文件的权限」,以及「攻击者必须实际能够存取使用者的装置」。

俄罗斯安全人员发现Steam程序有权限扩张漏洞,Valve在最新更新中修正

理解到 Valve 并未正式这项漏洞发现,45 天后,Felix 只能自行公布这项报告,一时在 Reddit 造成不小的话题。在 Felix 公布漏洞后,Valve 当时并未直接回应,如今透过 Steam 更新,在最下面悄悄注明了「修复了透过 Windows 注册表中利用符号连结(symbolic links)扩张权限的漏洞」。

声明: 猎游人 每天为你带来最新的游戏和硬件打折情报,帮你精心挑选值得玩的游戏,让您的钱花的更值!本站信息大部分来自于网友爆料,如果您发现了优质的游戏或好的价格,不妨爆料给我们吧(谢绝任何商业爆料)!

0条评论

Hi,您需要填写昵称和邮箱!
姓名 (必填)
邮箱 (必填)
网站

暂时木有评论