安全研究员Vasily kravet公布了一个与许多Steam玩家相关的漏洞。这个漏洞存在于Steam客户端上,可以利用此漏洞让任何用户通过简单的代码获取控制权限然后为所欲为。
利用这一漏洞任何无权限“用户”可以修改注册表,如果被恶意使用,可以借用管理员权限自由运行或停止自己想运行的EXE可执行文件。
然而发现者通过漏洞公测公司反馈这一漏洞后,得到的回复却是“超出适用范围”,Valve认为“这种攻击需要在用户的本地文件系统的任意位置放置文件的能力”。但经过外媒测试发现,借助Symlink也可以实现这一工作,发现者并不同意这种说法。他认为有些心怀恶意的“开发者”就有可能创造出一个免费游戏,吸引一些不明的人主动下载。此前在Steam上就出现过一款名为《pay for Picture》的拼图游戏,根据评测区的反馈,这一游戏还在后头进行“挖矿”行为,好在经过举报已经彻底下架了,但开发商Mo1a Game似乎还有创造其它类似游戏的想法。
发现者两次反馈均遭到拒绝后,觉得直接公开这个漏洞。他向HackerOne发出最后通牒:等到7月30日之后,他就会公开这一漏洞。虽然有这样的声明,但是他并没有在8月立即公开。可笑的是,还没等他公开,他却在8月2号收到了HackerOne的警告:禁止他公开这一漏洞,尽管他们曾“反复声明”这一漏洞“超出适用范围”,并且Valve自家也“觉得”这一问题无足轻重。
随后HackerOne公司在没有任何解释的情况下关闭了关于这一漏洞的讨论帖,同时,Valve也没有任何回复。
不过这并不是说使用Steam就是不安全的,你也没有必要卸载Steam,只不过在购买一些不明来源的游戏时需要更加谨慎一些。
不过在在最新的Beta版客户端中已经修复了通过Symlink扩大权限的机制,如果你需要的话可以在Steam设置>>账户>>参与测试中选择参与Steam Beta Update来进行更新。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理
