Groźna luka w aplikacji Steama
Błąd w zabezpieczeniach programu Valve związany jest usługą Steam Client Service, która na komputerach z Windowsem uruchamiana jest uprawnieniami administratora. Zmiany w systemowy rejestrze mają umożliwiać wykorzystanie jej użytkownikom z ograniczonymi uprawnieniami do odpalania programów z pełnymi prawami administratora.
Oznacza to, że program Steam może być furtką dla hakerów do infekowania urządzeń malware’em. Krytyczna luka może być wykorzystana do łatwego zdobycia uprawnień systemowych i bezproblemowego egzekwowania złośliwego kodu. Może prowadzić to do wykradania prywatnych danych oraz kradzieży pieniędzy.
Istnienie problemu z zabezpieczeniami potwierdzić miał również Matt Nelson, który na co dzień zajmuje się kwestiami bezpieczeństwa. Problem dotyczyć ma ponad 96 mln użytkowników aplikacji Steam na komputerach z Windowsem, z czego aż 72 proc. używa najnowszej wersji 10.
Co Valve robi z luką w Steamie?
Vasily Kravets wskazał, że luka została początkowo zgłoszona za pomocą systemu HackerOne (służy do wykrywania błędów), który wspierany jest przez Valve. Jego raport został najpierw odrzucony, ale - po ponownym kontakcie - przyznano mu rację i poproszono o zachowanie sprawy w tajemnicy.
Użytkownik niedawno stwierdził jednak, że Steam nie robi nic w temacie naprawienia luki, więc postanowił nie czekać 90 dni (firmom daje się zazwyczaj kwartał na wydanie odpowiedniej łatki bezpieczeństwa). Problem na forum publicznym został ujawniony już po 45 dniach, co ma zmusić twórców usługi do szybkiej reakcji.
Steam póki co nie wydał komentarza w tej sprawie. Zespół HackerOne wskazał z kolei, że rozmawia obecnie ze "sfrustrowanym programistą".