Home 多平台 PC Steam 權限擴張漏洞終於在最近一次更新中被修正
Steam 權限擴張漏洞終於在最近一次更新中被修正

Steam 權限擴張漏洞終於在最近一次更新中被修正

0
0

早前一名代號Felix的俄羅斯網路安全人員對外公開了一個由Windows 版Steam導致的程式漏洞 ,根據描述,該漏洞會導致Hacker能取得用戶電腦系統的管理員權限,恐怕會波及一億以上Windows Steam用戶的電腦安全。

Felix在六月時已經發現該漏洞,初時嘗試透過漏洞回報獎勵網站HackerOne向Steam官方通報該漏洞的存在,但他的回報卻兩度遭HackerOne與Valve打回頭,理由是他們認為“攻擊者必須先獲得在該使用者的系統上擁有任意刪除文件的權限” 與「攻擊者必須實際能夠存取使用者的裝置」才適用該回報專案的獎勵條件Felix判斷他的發現似乎並未獲得官方正視,所以他決定對外公開該漏洞所有細節:

根據Felix的發現,Steam的註冊表上存在一項漏洞,能讓所有User都有權限開關客戶端程式其中一項基於系統權限執行的Steam Client Service功能,然後他們還能利用該功能存取登陸機碼,有心人士能利用該漏洞擴張權限,以操控目標電腦為己所用。

在Felix公布該漏洞後,Valve雖然保持沉默,但也隨即在Beta版上作出了相應的修正,而該修正在最近一次Steam Client Update 已經正式上線正式版。

在最近的官方公告最後一段提到”Fixed privilege escalation exploit using symbolic links in Windows registry”

 

最新討論

comments