Win10论坛

Win10正式版系统下载主题平板

重定义Modern UI,打造完美Windows全新体验

Windows10下载|安装|新手宝典|必备软件

网传Steam有安全漏洞 玩家电脑可能会被当成矿机

2019-8-10 23:34| 发布者: cjy__05| 查看: 1713| 评论: 5|来自: cnbeta

收藏 分享
摘要: 安全研究员Vasily Kravets近日发现了Steam的重大安全漏洞。据悉,一些不法分子甚至可以利用该漏洞将玩家的PC变成矿机。

根据reddit网友的爆料,安全研究员Vasily Kravets近日发现了Steam的重大安全漏洞。据悉,一些不法分子甚至可以利用该漏洞将玩家的PC变成矿机。消息一出,立即引发了很多网友的关注。据悉,此次Steam出现的安全漏洞并不复杂:Steam出于某些内部目的(考虑),便在玩家的电脑中安装了“Steam Client ServiceSteam客户端服务)”。

这意味着“用户”组的任何一位用户都可以启动或停止服务。

这是什么意思呢?

steam客户端运行时,将自动为一系列注册表项目的相关权限提供许可,如果一些别有用心的人利用特殊手段(符号链接),将这些权限授予另外一种服务,那么任意一位用户都可以启动和停止这项服务。这意味着,如果用户在电脑上安装了Steam,就能使用最高权限运行任何程序。

危害有多大?

根据安全研究员Vasily Kravets所言,这种问题的危险性在于:Steam此次安装的客户端服务(实际上是为了在用户电脑上运行第三方程序而设计的),将允许一些启动程序获得用户电脑的最高权限。玩家们或许都看到过Steam上的一些免费游戏(当然,有不少很垃圾),但是没有人能够保证:这些开发者不会通过漏洞让玩家的电脑为挖矿服务。此外,由于这些程序拥有了最高权限,一些潜在的危险还会越过管理员权限,造成更大损害,例如:禁用杀毒软件、隐藏和更改用户电脑的任何文件,甚至还可以窃取个人隐私。

早在615日,安全研究员Vasily Kravets通过HackerOneValve报告了这个漏洞,但是到了616日,HackerOne的员工却表示“不适用”,给出了一定的原因。经过讨论,720日,HackerOne工作人员再次将此次报告标记为“不适用”。到了87日,也就是安全研究员Vasily Kravets初次提交报告后的第45天,他不得不将这项漏洞公之于众,同时希望Steam开发人员及时修复。

Vasily Kravets表示:“我并不是第一个发现漏洞的人,但却是第一个进行分析的人。V社的态度令我感到惊讶,也让我感到失望。我从来没想过,一家严谨的大公司居然对这样的漏洞给出了难以预料的回复。我表示难以理解,也很难接受这家公司的做法。我不建议玩家们删除Steam,但是希望大家在使用的时候能多加注意。

然而,这件事情其实还没完。

720日,当Vasily Kravets的漏洞报告被拒绝后,他曾经通知相关人员(HackerOne员工),将在730日之后公布漏洞信息;

82日,一位HackerOne员工禁止Vasily Kravets透露更多细节;

86日,steam进行了更新,但是并没有修复相关的漏洞;

值得一提的是,此前曾有独立游戏《Abstractism》疑似捆绑用户“挖矿” 被Steam强制下架。至于V社何时解决漏洞并做出进一步回应,还请关注我们的后续报道。

1

鲜花
1

握手

雷人
27

路过
2

鸡蛋

刚表态过的朋友 (31 人)

发表评论

最新评论

引用 2019-8-14 00:39 PCBETA网友 113.117.*.*
这个有点东西
引用 2019-8-13 11:24 PCBETA网友 182.245.*.*
从来看不起这个平台
引用 2019-8-12 14:36 PCBETA网友 180.162.*.*
我不这样觉得
引用 2019-8-11 04:03 PCBETA网友 223.72.*.*
好好收拾一下移动三大运营商,
引用 2019-8-11 02:28 PCBETA网友 221.214.*.*
对于网络安全,说实在话,已经是“无处藏身”。

查看全部评论(5)

验证码 换一个
远景网官方微博 远景网人人小站
投递新闻
回顶部
Copyright (C) 2005-2019 pcbeta.com, All rights reserved
Powered by Discuz!  苏ICP备17027154号
请勿发布违反中华人民共和国法律法规的言论,会员观点不代表远景论坛官方立场。
远景在线 | 远景论坛 | 苹果论坛 | Win10论坛 | Win8论坛 | Win7论坛 | WP论坛 | Office论坛 | 电脑硬件 | 安卓软件