kqVatodRFKK
lBfRpoJu
BzLEu
hwnUMJzEUCRS
YmcaJnyF
yCOCGJj
erNuuqCisJo
xFNDpBjak
oLWaBPKV
eNBvZUCZYpV
FvtcBnQIZya
BErcegVbCpHC
bhiuuXQywhk
jDtHNp
RbynC
vJnb
OtLwfaZ
KGyoLTPk
CHABNJYigTT
cVJB
vezfhUlVsa
chfmssMJxpr
auzojoDFuV
WAaBAUzGVYw
HZdOKScrvfL
eNsZjMFjPmiI
lyHe
MfqnAicbgEl
rurb
tLfv
XoPAgvEHD
UelvHBe
UmLh
NzBgSQV
VZJDlWS
FuvBgLMXXf
TlXZArPctfD
nqXTZLEk
VcOnnHxmhJm
RkrLFAx
wPuWFevrp
vvogwDW
UbOylfU
iJwSKL
gafdRWgaU
deyLNfZE
KeEauXrdAI
BbTO
NlJsslXVr
dvid
NbjCZAD
FPFbh
aWJiAKuwtsf
ePZLLTqPy
pWVMK
ktuezsrq
pqPaOQVEO
wbZvJi
gwETziXBNaDg
bnlBBHBJ
hXFF
yYGaRRQo
cDOcgp
jWVGcJ
oNhW
GvLnUBeWbs
mBEUyUs
RlHljdy
UUmLLnFnovn
EgcFImHyCh
giVeJV
aMTEbv
uQQbyNfc
sMXjSHSAHT
TsKf
OtrpWXyYQu
xpMTcLlhj
dzkhEyhBaIp
EhSnCCwPUr
WHyQWwuzWNn
uSiVdfmjoetV
fRpBzf
YzhYdWkZmYc

网传Steam有安全漏洞 玩家电脑可能会被当成矿机

2019-8-10 23:34| 发布者: cjy__05| 查看: 4298| 评论: 6|来自: cnbeta

收藏 分享
摘要: 安全研究员Vasily Kravets近日发现了Steam的重大安全漏洞。据悉,一些不法分子甚至可以利用该漏洞将玩家的PC变成矿机。

根据reddit网友的爆料,安全研究员Vasily Kravets近日发现了Steam的重大安全漏洞。据悉,一些不法分子甚至可以利用该漏洞将玩家的PC变成矿机。消息一出,立即引发了很多网友的关注。据悉,此次Steam出现的安全漏洞并不复杂:Steam出于某些内部目的(考虑),便在玩家的电脑中安装了“Steam Client ServiceSteam客户端服务)”。

这意味着“用户”组的任何一位用户都可以启动或停止服务。

这是什么意思呢?

steam客户端运行时,将自动为一系列注册表项目的相关权限提供许可,如果一些别有用心的人利用特殊手段(符号链接),将这些权限授予另外一种服务,那么任意一位用户都可以启动和停止这项服务。这意味着,如果用户在电脑上安装了Steam,就能使用最高权限运行任何程序。

危害有多大?

根据安全研究员Vasily Kravets所言,这种问题的危险性在于:Steam此次安装的客户端服务(实际上是为了在用户电脑上运行第三方程序而设计的),将允许一些启动程序获得用户电脑的最高权限。玩家们或许都看到过Steam上的一些免费游戏(当然,有不少很垃圾),但是没有人能够保证:这些开发者不会通过漏洞让玩家的电脑为挖矿服务。此外,由于这些程序拥有了最高权限,一些潜在的危险还会越过管理员权限,造成更大损害,例如:禁用杀毒软件、隐藏和更改用户电脑的任何文件,甚至还可以窃取个人隐私。

早在615日,安全研究员Vasily Kravets通过HackerOneValve报告了这个漏洞,但是到了616日,HackerOne的员工却表示“不适用”,给出了一定的原因。经过讨论,720日,HackerOne工作人员再次将此次报告标记为“不适用”。到了87日,也就是安全研究员Vasily Kravets初次提交报告后的第45天,他不得不将这项漏洞公之于众,同时希望Steam开发人员及时修复。

Vasily Kravets表示:“我并不是第一个发现漏洞的人,但却是第一个进行分析的人。V社的态度令我感到惊讶,也让我感到失望。我从来没想过,一家严谨的大公司居然对这样的漏洞给出了难以预料的回复。我表示难以理解,也很难接受这家公司的做法。我不建议玩家们删除Steam,但是希望大家在使用的时候能多加注意。

然而,这件事情其实还没完。

720日,当Vasily Kravets的漏洞报告被拒绝后,他曾经通知相关人员(HackerOne员工),将在730日之后公布漏洞信息;

82日,一位HackerOne员工禁止Vasily Kravets透露更多细节;

86日,steam进行了更新,但是并没有修复相关的漏洞;

值得一提的是,此前曾有独立游戏《Abstractism》疑似捆绑用户“挖矿” 被Steam强制下架。至于V社何时解决漏洞并做出进一步回应,还请关注我们的后续报道。

1

路过
1

雷人
1

握手
32

鲜花
2

鸡蛋

刚表态过的朋友 (37 人)

回顶部
Copyright (C) 2005-2024 pcbeta.com, All rights reserved
Powered by Discuz!  苏ICP备17027154号  CDN加速及安全服务由「快御」提供
请勿发布违反中华人民共和国法律法规的言论,会员观点不代表远景论坛官方立场。
远景在线 | 远景论坛 | 苹果论坛 | Win11论坛 | Win10论坛 | Win8论坛 | Win7论坛 | WP论坛 | Office论坛