Im bardziej rozbudowane oprogramowanie, tym więcej luk w bezpieczeństwie, a zwłaszcza w momencie, kiedy aplikacja bije rekordy popularności. Ich odkrycie jest jednak cholernie trudne, co widać na przykładzie platformy Steam. To w jej kodzie znajdował się od przeszło 10 lat bug, który to umożliwiał hakerom proste wtargnięcie na komputer ofiary.

Wprawdzie to niedociągnięcie w zabezpieczeniach nie było publiczne od ponad dekady, ale w środowiskach hakerów mogło wieść swoje własne życie. Na szczęście – Tom Court będący specjalistą ds. bezpieczeństwa w firmie Context Information Security poinformował w lutym Valve o jej istnieniu. Jej zabezpieczenie nie zabrało specjalistą specjalnie dużo czasu, bo poradzili sobie z nią w około 8 godzin, ale dystrybucja nowego kodu wraz z aktualizacją Steama odbyła się dopiero 22 marca. Patrząc jednak na jej obecność praktycznie od początku platformy, takie opóźnienie nie wydaje się specjalnie oburzające. Odkrywca zaś oddał wynik swoich poszukiwań do wiadomości publicznej zaraz po załataniu luki, co miało być „przestrogą dla deweloperów, którzy powinni regularnie sprawdzać swoje oprogramowanie, aby mieć pewność, że jest zgodne z nowoczesnymi standardami bezpieczeństwa„.

Na potwierdzenie swojego odkrycia Context Information Security udostępniła w sieci filmik ukazujący sposób, w jakim to można wykorzystać wspomniane niedopatrzenie. Z pomocą emulacji systemu Windows 10 w Virtual Boxie (ofiary) atakujący był w stanie uruchomić np. kalkulator. To oczywiście nic złego, ale nie w momencie, kiedy kalkulator zastąpimy skryptem albo złośliwym oprogramowaniem. Warto również stanąć w obronie firmy Valve, ponieważ ta nie miała pojęcia o obecności istniejącej od ponad 10 lat luki.

Źródło: guru3d

Spodobał Ci się ten artykuł? Podaj dalej!