[新聞] Steam含有權限擴張漏洞,波及1億用戶

看板Steam作者 (阿修雷)時間6年前 (2019/08/10 10:08), 編輯推噓69(75665)
留言146則, 79人參與, 6年前最新討論串1/3 (看更多)
Steam含有權限擴張漏洞,波及1億用戶 https://www.ithome.com.tw/news/132344 研究人員發現Steam客戶端程式暗藏的零時差漏洞,讓安裝了Steam的Windows電腦陷入安 全風險 文/陳曉莉 | 2019-08-09發表 代號為Felix的俄羅斯安全研究人員在本周揭露了Windows版的Steam客戶端程式,含有一 零時差的權限擴張漏洞,將允許駭客取得管理員權限,於系統上執行任意程式,雖然他曾 先行通報Steam,卻遭到Steam拒絕,使得Felix決定公布漏洞細節,波及超過1億的Steam 註冊用戶。 根據Felix的說明,Steam的客戶端程式有一項基於系統權限執行的Steam Client Service 功能,奇怪的是來自「使用者」(Users)群組的任何人,都有權啟用或關閉該功能,繼 之他發現所有使用者都能存取該功能的登錄機碼,也讓駭客可利用它來擴張權限。 Felix指出,這意味著只要Windows電腦安裝了Steam,駭客就可取得系統管理員權限並執 行任意程式。 Steam為美國業者Valve所開發的遊戲數位發行平台,它支援Windows、macOS、Linux、 Android與iOS等平台。根據Steam Spy的估計,Steam的全球用戶數超過2.4億,而Steam今 年7月的調查則顯示,約有71.5%的用戶使用Windows 10作業系統,代表至少有1.7億的用 戶受到該漏洞的影響。 Felix表示,他是在今年6月透過Valve,於HackerOne上執行的抓漏獎勵專案回報了該漏洞 ,該漏洞已經通過了HackerOne的審核,卻被Valve打了回票,理由是:駭客必須有能力在 使用者檔案系統上置放檔案,也必須實際接觸使用者裝置,因此不適用於該專案。但當他 準備公布漏洞資訊時,Valve還曾制止他。 而在Felix公布了漏洞資訊之後,即有另一名研究人員於GitHub上釋出了針對該漏洞的概 念性驗證攻擊程式。截至新聞發布前,Valve仍未公開回應此事。 心得: 好吧,我決定考慮用Linux來玩遊戲了,Windows系統好恐怖,防不慎防 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.177.123.190 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Steam/M.1565402894.A.1C8.html
08/10 10:11, 6年前 , 1F
以前在資訊阿貴那邊受教了學linux的必要性
08/10 10:11, 1F
08/10 10:13, 6年前 , 2F
按照valve的解釋要先接觸到裝置 這就是有風險了
08/10 10:13, 2F
08/10 10:13, 6年前 , 3F
例如網咖? 另外也可以透過後門去放置檔案吧?
08/10 10:13, 3F
08/10 10:19, 6年前 , 4F
太可怕,趕快開steam玩遊戲壓壓驚。
08/10 10:19, 4F
08/10 10:21, 6年前 , 5F
網咖超容易中標吧根本木馬溫床
08/10 10:21, 5F
08/10 10:22, 6年前 , 6F
Epic粉熱身中
08/10 10:22, 6F
08/10 10:23, 6年前 , 7F
你1450
08/10 10:23, 7F
08/10 10:26, 6年前 , 8F
Steam Client Beta 今早的更新有修復這個漏洞
08/10 10:26, 8F
08/10 10:27, 6年前 , 9F
還好我用win7
08/10 10:27, 9F
08/10 10:27, 6年前 , 10F
是steam幫自己留的後門嗎,所以不想補漏洞?
08/10 10:27, 10F
08/10 10:28, 6年前 , 11F
不懂 Steam省這個獎金幹嘛 花小錢有人跟你講漏洞不好嗎
08/10 10:28, 11F
08/10 10:28, 6年前 , 12F
下次發現的人乾脆就直接賣給犯罪集團去用了
08/10 10:28, 12F
08/10 10:29, 6年前 , 13F
感覺沒有平台可以信任了
08/10 10:29, 13F
08/10 10:30, 6年前 , 14F
應該是自己偷偷留的
08/10 10:30, 14F
08/10 10:31, 6年前 , 15F
純就這個文章看來 valve真的有問題= =
08/10 10:31, 15F
08/10 10:32, 6年前 , 16F
拒絕通報這鐵定有問題了
08/10 10:32, 16F
08/10 10:53, 6年前 , 17F
S黑熱身中
08/10 10:53, 17F
08/10 10:56, 6年前 , 18F
不是啊 仔細認真看完內容
08/10 10:56, 18F
08/10 10:58, 6年前 , 19F
Felix有提到被制止 是個怎樣的制止法呢
08/10 10:58, 19F
08/10 10:59, 6年前 , 20F
隔壁邊緣禁地是有請人登門造訪叫人不要再洩密了
08/10 10:59, 20F
08/10 11:03, 6年前 , 21F
這比EPIC嚴重多了吧,EPIC只是偷STEAM好友資料
08/10 11:03, 21F
08/10 11:03, 6年前 , 22F
這直接是整個後門打開了
08/10 11:03, 22F
08/10 11:08, 6年前 , 23F
駭客現在得要進到家裡才能成功 難度超低
08/10 11:08, 23F
08/10 11:12, 6年前 , 24F
好的 大家繼續噴EPIC
08/10 11:12, 24F
08/10 11:14, 6年前 , 25F
拒絕通報後又修復漏洞?
08/10 11:14, 25F
08/10 11:15, 6年前 , 26F
要現實接觸到硬體的本來風險就沒那麼高啊
08/10 11:15, 26F
08/10 11:15, 6年前 , 27F
有點疑問 實際接觸使用者裝置 指的是要能碰到使用者電
08/10 11:15, 27F
08/10 11:15, 6年前 , 28F
腦嗎? 在網咖的風險高的意思?
08/10 11:15, 28F
08/10 11:17, 6年前 , 29F
如果是電腦會被其他人使用 不管有沒有漏洞 都有風險就了
08/10 11:17, 29F
08/10 11:20, 6年前 , 30F
要被駭客實際接觸到... 那還算駭客嗎...
08/10 11:20, 30F
08/10 11:21, 6年前 , 31F
並且這個那麼麻煩 要到帳號的直接用木馬或側錄程式比較
08/10 11:21, 31F
08/10 11:21, 6年前 , 32F
快吧?
08/10 11:21, 32F
08/10 11:21, 6年前 , 33F
您呼叫的屎屍粉已抵達戰場。
08/10 11:21, 33F
08/10 11:29, 6年前 , 34F
拿系統漏洞比直接竊取資料,真的很棒啊你各位
08/10 11:29, 34F
08/10 11:31, 6年前 , 35F
epic不意外
08/10 11:31, 35F
08/10 11:37, 6年前 , 36F
EPIC網軍熱身中
08/10 11:37, 36F
08/10 11:39, 6年前 , 37F
沒空 繼續檢討Epic
08/10 11:39, 37F
08/10 11:39, 6年前 , 38F
這應該算Windows系統的包
08/10 11:39, 38F
08/10 11:40, 6年前 , 39F
TIM又能罵一個月
08/10 11:40, 39F
還有 67 則推文
08/10 14:31, 6年前 , 107F
要碰到電腦才能駭嗎?那安全啦
08/10 14:31, 107F
08/10 14:36, 6年前 , 108F
有漏洞很爛還可以修正 有惡意想偷就不會改善
08/10 14:36, 108F
08/10 14:39, 6年前 , 109F
linux is free if your time is free
08/10 14:39, 109F
08/10 14:48, 6年前 , 110F
碰電腦才能駭是steam單方面說法
08/10 14:48, 110F
08/10 14:51, 6年前 , 111F
現在 Linux GUI 要玩遊戲不需要花到什麼時間吧?
08/10 14:51, 111F
08/10 14:51, 6年前 , 112F
連安裝都一樣簡單了
08/10 14:51, 112F
08/10 15:07, 6年前 , 113F
蒸氣粉不鍵盤抵制嗎? 反正不差蒸氣裡這幾款遊戲 有當
08/10 15:07, 113F
08/10 15:07, 6年前 , 114F
作沒有xdd
08/10 15:07, 114F
08/10 15:09, 6年前 , 115F
S粉:都是微軟的錯啦幹
08/10 15:09, 115F
08/10 15:13, 6年前 , 116F
Windows才花時間吧,裝個開發環境毛一堆
08/10 15:13, 116F
08/10 15:13, 6年前 , 117F
Linux簡單幾行指令就解決的東西Windows還按鈕點來點去
08/10 15:13, 117F
08/10 15:21, 6年前 , 118F
不過真的有人敢在網咖登入自己的帳號嗎?
08/10 15:21, 118F
08/10 15:25, 6年前 , 119F
嚇死人 還好我大門有鎖好
08/10 15:25, 119F
08/10 15:33, 6年前 , 120F
果不其然一堆發財仔開始類比偷個資跟系統漏洞,真棒
08/10 15:33, 120F
08/10 15:44, 6年前 , 121F
EPIC個資換遊戲仔什麼時候有發財仔這稱號了 沒跟到典故麻
08/10 15:44, 121F
08/10 15:44, 6年前 , 122F
煩樓上解釋一下
08/10 15:44, 122F
08/10 15:45, 6年前 , 123F
意思是指靠賣個資發財的意思嗎?
08/10 15:45, 123F
08/10 16:08, 6年前 , 124F
有趣的是隔壁版還在討論機制跟原理還有獎金發放規定
08/10 16:08, 124F
08/10 16:08, 6年前 , 125F
然後這邊一堆推文都直接開酸
08/10 16:08, 125F
08/10 16:18, 6年前 , 126F
畢竟沒有E版嘛 忍很久了
08/10 16:18, 126F
08/10 16:35, 6年前 , 127F
這個漏洞主要影響的是windows那邊跟steam帳號比較無關
08/10 16:35, 127F
08/10 16:37, 6年前 , 128F
所以在網咖登入不用擔心這個漏洞,開網咖的比較需要擔心
08/10 16:37, 128F
08/10 16:39, 6年前 , 129F
沒事兒,沒事兒,不是epic
08/10 16:39, 129F
08/10 16:42, 6年前 , 130F
XDDDE粉進攻嘍
08/10 16:42, 130F
08/10 16:49, 6年前 , 131F
E粉出征
08/10 16:49, 131F
08/10 17:00, 6年前 , 132F
E粉:Steam幫自己留個需要接觸裝置才能使用的後門 太可怕了
08/10 17:00, 132F
08/10 17:03, 6年前 , 133F
EPIC粉高潮 STEAM就是爛拉
08/10 17:03, 133F
08/10 17:53, 6年前 , 134F
友軍內建謀報系統 比這個被動觸發強多了
08/10 17:53, 134F
08/10 18:08, 6年前 , 135F
用Linux無感
08/10 18:08, 135F
08/10 18:49, 6年前 , 136F
轉投EPIC囉= =
08/10 18:49, 136F
08/10 19:58, 6年前 , 137F
前後言行不一被抓起來打也是沒辦法的事情
08/10 19:58, 137F
08/11 00:06, 6年前 , 138F
就知道Epic是垃報平台,不意外=..=
08/11 00:06, 138F
08/11 00:06, 6年前 , 139F
垃圾啦幹
08/11 00:06, 139F
08/11 01:16, 6年前 , 140F
抵制抵起來 頂多steam遊戲全部不玩嗚嗚
08/11 01:16, 140F
08/11 13:58, 6年前 , 141F
一堆鋼鐵粉在護航~有洞就是有洞
08/11 13:58, 141F
08/11 16:51, 6年前 , 142F
不像某個史詩平臺,我遊戲賣你便宜一點,但是你個資我100
08/11 16:51, 142F
08/11 16:52, 6年前 , 143F
%要定了。 這個Steam的是有機率你不會中標的
08/11 16:52, 143F
08/11 17:02, 6年前 , 144F
笑死 這麼討厭steam卻還賴在這 是不是連帳號也沒有?
08/11 17:02, 144F
08/11 19:03, 6年前 , 145F
AMD:聽說也有人說我們CPU有漏洞
08/11 19:03, 145F
08/13 08:21, 6年前 , 146F
最後是windows的鍋還是STEAM的鍋....
08/13 08:21, 146F
更多 purplvampire 的文章
文章代碼(AID): #1TJYSE78 (Steam)
更多 purplvampire 的文章
文章代碼(AID): #1TJYSE78 (Steam)