Az otthoni felhasználók számítógépeit kártevőkkel megfertőzni kívánók általában az operációs rendszerekben és a böngészőkben megbúvó sebezhetőségeket próbálják kihasználni, de ez nem jelenti azt, hogy más alkalmazások támadásával ne érhetnék el a céljaikat.
Most kiderült, hogy Steam digitális játékáruház számítógépes kliensében körülbelül tíz éven át volt egy durva sebezhetőség, a segítségével távoli kódfuttatásra nyílt lehetőség. A támadónak hibás formázású UDP adatcsomagokat kellett küldenie az áldozat számítógépén futó kliensnek, a sebezhetőségnek köszönhetően szabadon választott támadó kódokat futtathatott a PC-jén.
A sérülékenység kihasználását tavaly júliusban véletlenül már megnehezítette a Valve, mikor bekapcsolta a memóriahely-alapú támadások ellen kitalált ASLR védelmet a Steamben. Tom Court, a problémát felfedezett Context Information Security biztonsági kutatója szerint ettől függetlenül egy másikkal kombinálva kihasználható maradt a sebezhetőség.
Court márciusban jelentette a sérülékenységeket a Valve-nak, és kellemes meglepetésére olyan 12 óra múlva a cég kiadott egy béta patchet, amely részlegesen orvosolta a problémákat. A teljes értékű, végső javítások a Steam 2018. április 4-én kiadott stabil verziójában landoltak a felhasználóknál.
Nincs rá bizonyíték, hogy a durva hibát Tom Court előtt bárki kiszúrta volna.
Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!