游戏平台Steam曝出权限扩张漏洞 影响1.7亿玩家

 联系我们     |      2019-08-13 16:22

  一名代号为Felix的俄罗斯保险员在本周表露了Windows版Steam客户端程序,具备一个可扩大权限的零日漏洞,可影响超过1.7亿名的Steam注册玩家。该漏洞准许攻打者取得治理员权限,进而在系统上执行任意代码。


华硕RT-AX92U 三频千兆WIFI无线路由器/大户型散布式Mesh

[经销商] 京东商城

[产品售价] 3699元

进入购买

  据Felix指出,Steam的客户端程序有一项基于系统权限执行的Steam Client Service功用。奇怪的是来自“使用者”(Users)群组的任何人,都有权启用或关闭该功用,随后他觉察所有使用者都能造访该功用的登录机码,也让攻打者便利利用其来扩张权限。

  Felix表示,这意味着只要Windows电脑装置了Steam,骇客就可失掉系统治理员权限并执行任意程序。

  Steam是美国公司Valve所开发的游戏散发平台,它支持Windows、macOS、Linux、Android与iOS等平台。依据Steam Spy的估计,Steam的全球用户数超过2.4亿,而Steam今年7月的考察则显示,约有71.5%的用户使用Windows 10操作系统,代表至少有1.7亿的用户受到该漏洞影响。

  Felix表示,今年6月他通过Valve,在HackerOne上执行的抓漏奖励项目上报了该漏洞,并已通过HackerOne的审核,但却遭Valve回绝。理由是:骇客必须有才能在使用者文件系统上置放文件,也必须实际接触使用者设备,因此不适用于该项目。但当他筹备公布漏洞细节时,Valve还曾遏止他。

  而当Felix公布了漏洞信息之后,另一名研究人员则在GitHub上放出了针关于该漏洞的概念性考证攻打程序。不过截至目前,Valve仍未公开回应此事。

考察区域:企业小考察(点击预览可查看成效)

本文属于原创文章,如若转载,请注明根源:游戏平台Steam曝出权限扩张漏洞 影响1.7亿玩家

safe.zol.com.cn true 中关村在线 report 1383   一名代号为Felix的俄罗斯保险员在本周表露了Windows版Steam客户端程序,具备一个可扩大权限的零日漏洞,可影响超过1.7亿名的Steam注册玩家。该漏洞准许攻打者取得治理员权限,进而在系统上执行任意代码。华硕RT-AX92U 三频千兆WIFI无线路由器/大户型散布式Mesh[经销...