中国产经网

产经行业的
探索与发现
更多行业干货分享,关注中国产经网Www.chinaice.cN

游戏平台Steam曝出权限扩张漏洞 影响1.7亿玩家

更新时间:2019-08-12 22:10点击:

游戏平台Steam曝出权限扩张漏洞 影响1.7亿玩家

  一名代号为Felix的俄罗斯安全员在本周披露了Windows版Steam客户端程序,存在一个可扩大权限的零日漏洞,可影响超过1.7亿名的Steam注册玩家。该漏洞允许攻击者获得管理员权限,进而在系统上执行任意代码。

游戏平台Steam曝出权限扩张漏洞 影响1.7亿玩家


华硕RT-AX92U 三频千兆WIFI无线路由器/大户型分布式Mesh

华硕RT-AX92U 三频千兆WIFI无线路由器/大户型分布式Mesh

[经销商] 京东商城

[产品售价] 3699元

进入购买

  据Felix指出,Steam的客户端程序有一项基于系统权限执行的Steam Client Service功能。奇怪的是来自“使用者”(Users)群组的任何人,都有权启用或关闭该功能,随后他发现所有使用者都能访问该功能的登录机码,也让攻击者方便利用其来扩张权限。

  Felix表示,这意味着只要Windows电脑安装了Steam,骇客就可取得系统管理员权限并执行任意程序。

  Steam是美国公司Valve所开发的游戏分发平台,它支持Windows、macOS、Linux、Android与iOS等平台。根据Steam Spy的估计,Steam的全球用户数超过2.4亿,而Steam今年7月的调查则显示,约有71.5%的用户使用Windows 10操作系统,代表至少有1.7亿的用户受到该漏洞影响。

  Felix表示,今年6月他通过Valve,在HackerOne上执行的抓漏奖励项目上报了该漏洞,并已通过HackerOne的审核,但却遭Valve拒绝。理由是:骇客必须有能力在使用者文件系统上置放文件,也必须实际接触使用者设备,因此不适用于该项目。但当他准备公布漏洞细节时,Valve还曾制止他。

  而当Felix公布了漏洞信息之后,另一名研究人员则在GitHub上放出了针对该漏洞的概念性验证攻击程序。不过截至目前,Valve仍未公开回应此事。

调查区域:企业小调查(点击预览可查看效果)

本文属于原创文章,如若转载,请注明来源:游戏平台Steam曝出权限扩张漏洞 影响1.7亿玩家

safe.zol.com.cn true 中关村在线 report 1383   一名代号为Felix的俄罗斯安全员在本周披露了Windows版Steam客户端程序,存在一个可扩大权限的零日漏洞,可影响超过1.7亿名的Steam注册玩家。该漏洞允许攻击者获得管理员权限,进而在系统上执行任意代码。华硕RT-AX92U 三频千兆WIFI无线路由器/大户型分布式Mesh[经销...