[新聞] Steam被曝嚴重安全漏洞 Beta版已緊急修復
作者: jerry78424 (é’æ¾ç¢§æ¿¤) 2019-08-11 13:38:21
Steam客戶端被曝嚴重安全漏洞 Beta版已緊急修復
2019-08-10 17:38:17 來源:Arstechnica 作者:JIM SALTER 編輯:魚諳
據Arstechnica報導,在8月7日,忍無可忍的安全研究員Vasily Kravets選擇公佈他
發現的一個0day漏洞,而且這個漏洞還是存在於那個與許多玩家緊密相關的:Steam
Windows客戶端上。這一漏洞可以讓任何「用戶」通過簡單的代碼獲取LOCALSYSTEM權限然
後為所欲為。
這一漏洞基於「Steam Client Service」,既使是一些無權限「用戶」也可以啟動或
停止這一服務。這樣就帶來一個問題,這一服務會自動批准一些註冊表改動。如果被惡意
使用的話,這些鍵有可能通過Symlink鏈接到其他服務項之下,讓用戶可以「借用」管理
員權限下自由運行/停止一些自己想運行的exe文件,甚至可以讓它們在Windows
Installer Service(msiserver)下運行。
外媒按照他提供的方法在虛擬機中使用無權限「用戶」成功在「
C:\Windows\System32\」建立了一個文件,據稱,整個過程中沒有彈出Windows User
Account Control(UAC),並且只用了數分鐘就完成了,甚至只需要Steam客戶端,連遊
戲都沒有安裝。
然而發現者Vasily通過漏洞眾測公司HackerOne反饋這一漏洞後,所得到的回覆卻是
「超出適用範圍」,Valve認為「這種攻擊需要在用戶的本地文件系統的任意位置放置文
件的能力」。但經過外媒測試也可以發現,借助Symlink也可以實現這一工作,而發現者
Vasily自然也不同意這種說法。
因此他和HackerOne的工作人員進行了討論,另一位工作人員在確認完這一報告後,
最終向Valve反饋了這一問題。但沒過幾週,他從第三位HackerOne員工那又收到了「拒絕
」的結果。他在原有的理由中又追加了一條「攻擊需要物理接觸用戶設備的能力」。
不過第二條原因對於一個遊戲平台而言,就更不成問題了。既使對方沒法親自給你的
電腦裝上他的東西,但是心懷惡意的「開發者」就有可能創造出一個免費「遊戲」,吸引
一些不明就裡的人們主動下載。在前段時間,Steam上就曾出現過名為《Pay for Picture
》的「拼圖」遊戲,不僅使用盜來的擦邊球圖片,根據評測區的反饋,這一遊戲還在後台
進行「挖礦」行為,好在經過舉報已經徹底下架了,但開發商Mola Game似乎還有著創造
其他類似「遊戲」的動向,當然這些都是後話了。
回到Vasily的話題上,兩次遭拒的他,決定不再依靠外援,除了直接公開已經別無他
法。他向HackerOne發出了最後通牒:等到7月30日之後,他就會公開這一漏洞。雖然有這
樣的聲明,但是他並沒有在8月立即公開。可笑的是,還沒等他公開,他卻在8月2號收到
了HackerOne的警告:禁止他公開這一漏洞,儘管他們曾「反覆聲明」這一漏洞「超出適
用範圍」,並且Valve自家也「覺得」這一問題無足輕重。
這甚至不是人們第一次提出這一漏洞了,早在2015年就有人將類似的漏洞提交到了公
共漏洞及暴露數據庫CVE中,在Vasily公佈後,這一漏洞也被收錄到了國家信息安全漏洞
庫中。Vasily稱,這一漏洞很容易發現,但他是第一個分析研究這一漏洞的人。在8月6號
,Steam又進行了一次更新,但是問題依然沒有被修復。
在他發佈漏洞的文章最後他還寫道「這篇文章原本打算在7月30號就發佈(這是我在
發出漏洞報告時給出的45天的截止日期)但是2周之後的7月20日,一個人出現並且告訴我
這份報告被標為『不適用』。他們還關閉了關於這一漏洞的討論帖,卻不給我任何解釋,
甚至,他們還不希望我將漏洞公開。同時,Valve也沒有給我任何回應。不,老兄,不應
該是這樣的吧。既然你們不尊重我的工作,那麼我也沒必要尊重你們的了,我沒有任何理
由不公開這一漏洞。或許我會被HackerOne封禁,即便如此我也不會失望。」
不過這並不是說使用Steam就是不安全的,你也沒有必要卸載Steam,只不過在購買一
些不明來源的遊戲時需要更加謹慎一些。外媒目前聯繫了valve,但目前還沒有受到回應
,如果之後事情有所發展,請關注我們的後續報導。
在最新的Beta版客戶端中已經修復了通過Symlink擴大權限的機制,如果你需要的話
可以在Steam設置>>賬戶>>參與測試中選擇參與Steam Beta Update來進行更新。
2019-08-10 17:38:17 來源:Arstechnica 作者:JIM SALTER 編輯:魚諳
據Arstechnica報導,在8月7日,忍無可忍的安全研究員Vasily Kravets選擇公佈他
發現的一個0day漏洞,而且這個漏洞還是存在於那個與許多玩家緊密相關的:Steam
Windows客戶端上。這一漏洞可以讓任何「用戶」通過簡單的代碼獲取LOCALSYSTEM權限然
後為所欲為。
這一漏洞基於「Steam Client Service」,既使是一些無權限「用戶」也可以啟動或
停止這一服務。這樣就帶來一個問題,這一服務會自動批准一些註冊表改動。如果被惡意
使用的話,這些鍵有可能通過Symlink鏈接到其他服務項之下,讓用戶可以「借用」管理
員權限下自由運行/停止一些自己想運行的exe文件,甚至可以讓它們在Windows
Installer Service(msiserver)下運行。
外媒按照他提供的方法在虛擬機中使用無權限「用戶」成功在「
C:\Windows\System32\」建立了一個文件,據稱,整個過程中沒有彈出Windows User
Account Control(UAC),並且只用了數分鐘就完成了,甚至只需要Steam客戶端,連遊
戲都沒有安裝。
然而發現者Vasily通過漏洞眾測公司HackerOne反饋這一漏洞後,所得到的回覆卻是
「超出適用範圍」,Valve認為「這種攻擊需要在用戶的本地文件系統的任意位置放置文
件的能力」。但經過外媒測試也可以發現,借助Symlink也可以實現這一工作,而發現者
Vasily自然也不同意這種說法。
因此他和HackerOne的工作人員進行了討論,另一位工作人員在確認完這一報告後,
最終向Valve反饋了這一問題。但沒過幾週,他從第三位HackerOne員工那又收到了「拒絕
」的結果。他在原有的理由中又追加了一條「攻擊需要物理接觸用戶設備的能力」。
不過第二條原因對於一個遊戲平台而言,就更不成問題了。既使對方沒法親自給你的
電腦裝上他的東西,但是心懷惡意的「開發者」就有可能創造出一個免費「遊戲」,吸引
一些不明就裡的人們主動下載。在前段時間,Steam上就曾出現過名為《Pay for Picture
》的「拼圖」遊戲,不僅使用盜來的擦邊球圖片,根據評測區的反饋,這一遊戲還在後台
進行「挖礦」行為,好在經過舉報已經徹底下架了,但開發商Mola Game似乎還有著創造
其他類似「遊戲」的動向,當然這些都是後話了。
回到Vasily的話題上,兩次遭拒的他,決定不再依靠外援,除了直接公開已經別無他
法。他向HackerOne發出了最後通牒:等到7月30日之後,他就會公開這一漏洞。雖然有這
樣的聲明,但是他並沒有在8月立即公開。可笑的是,還沒等他公開,他卻在8月2號收到
了HackerOne的警告:禁止他公開這一漏洞,儘管他們曾「反覆聲明」這一漏洞「超出適
用範圍」,並且Valve自家也「覺得」這一問題無足輕重。
這甚至不是人們第一次提出這一漏洞了,早在2015年就有人將類似的漏洞提交到了公
共漏洞及暴露數據庫CVE中,在Vasily公佈後,這一漏洞也被收錄到了國家信息安全漏洞
庫中。Vasily稱,這一漏洞很容易發現,但他是第一個分析研究這一漏洞的人。在8月6號
,Steam又進行了一次更新,但是問題依然沒有被修復。
在他發佈漏洞的文章最後他還寫道「這篇文章原本打算在7月30號就發佈(這是我在
發出漏洞報告時給出的45天的截止日期)但是2周之後的7月20日,一個人出現並且告訴我
這份報告被標為『不適用』。他們還關閉了關於這一漏洞的討論帖,卻不給我任何解釋,
甚至,他們還不希望我將漏洞公開。同時,Valve也沒有給我任何回應。不,老兄,不應
該是這樣的吧。既然你們不尊重我的工作,那麼我也沒必要尊重你們的了,我沒有任何理
由不公開這一漏洞。或許我會被HackerOne封禁,即便如此我也不會失望。」
不過這並不是說使用Steam就是不安全的,你也沒有必要卸載Steam,只不過在購買一
些不明來源的遊戲時需要更加謹慎一些。外媒目前聯繫了valve,但目前還沒有受到回應
,如果之後事情有所發展,請關注我們的後續報導。
在最新的Beta版客戶端中已經修復了通過Symlink擴大權限的機制,如果你需要的話
可以在Steam設置>>賬戶>>參與測試中選擇參與Steam Beta Update來進行更新。
作者: vinex518 2019-08-11 13:40:00
還好我用epic
作者: fragmentwing (片翼碎夢) 2019-08-11 13:42:00
epic:看吧(嘶吼epic:阿哩,又沒人理我了QAQ
作者: hiyori9977 (世界雲雲不理你) 2019-08-11 13:43:00
真的是不知道為什麼想省這筆錢
作者: guogu 2019-08-11 13:45:00
所以不是valve不發錢而是HackerOne?
作者: andy0481 (想吃比叡的咖哩) 2019-08-11 13:46:00
https://hackerone.com/valve 範圍定義都寫好了 也發過67萬鎂 為什麼不發錢可以自己去看看
作者: tacticalandy (tacticalandy) 2019-08-11 14:05:00
詳細可以去看巴哈steam版
作者: erisiss0 (965005) 2019-08-11 15:06:00
說是這樣說,大公司對這種事情其實可以個別處理發錢就是
作者: Xavy (グルグル回る) 2019-08-11 15:12:00
前提是要被塞木馬 (笑)
作者: siyaoran (七星) 2019-08-11 15:13:00
就是透過steam裝木馬還有要實體接觸才能裝真的是唬爛
作者: axakira (axa) 2019-08-11 15:46:00
實體接觸(笑),不想付賞金就直說嘛,下次看還有沒有人願意通報
繼續閱讀
