FERRAMENTAS LINUX: O Investigador descobre exploração a 0Day na Steam, a Valve a ignora, exploração torna-se pública

sábado, 10 de agosto de 2019

O Investigador descobre exploração a 0Day na Steam, a Valve a ignora, exploração torna-se pública



Como está agora, os usuários do Steam continuam vulneráveis



Uma vulnerabilidade de 0 dia foi identificada no Cliente Windows Steam por Vasily Kravets, pesquisadora de segurança, mas foi totalmente ignorada pela Valve. O pesquisador publicou todos os detalhes sobre a exploração.

Hackers e pesquisadores de segurança estão sempre procurando vulnerabilidades, em software, sites, serviços e assim por diante. Geralmente, as razões são diretas. Eles só querem saber se podem fazer isso. Outras vezes, algum tipo de recompensa monetária está em jogo.

No caso desta vulnerabilidade em particular, Vasily Kravets estava apenas checando a segurança do Cliente Windows Steam , quando ele identificou um problema. É um pouco complicado, mas como Vasily Kravets explica, o resultado final é que o exploit permite que qualquer programa seja executado com os maiores direitos possíveis em qualquer PC que tenha instalado o Steam.

Em teoria, um dos milhares de desenvolvedores que estão publicando material através do Steam, pode aproveitar essa vulnerabilidade e infectar o computador host com facilidade.

Surpreendentemente, a façanha vem em segundo lugar

Você pode pensar que a Valve se apressaria em fechar a vulnerabilidade assim que descobrissem, mas você estaria errado. Vasily Kravets informou a Valve sobre o problema, mas inicialmente disseram que não é aplicável. O pesquisador usou um backchannel e, finalmente, a Valve tomou conhecimento, mas apenas para ignorar a exploração mais uma vez.

Na verdade, o exploit que foi relatado no HackerOne foi marcado como "Ataques que exigem a capacidade de soltar arquivos em locais arbitrários no sistema de arquivos do usuário" e "Ataques que exigem acesso físico ao dispositivo do usuário".

Tenha em mente que todas essas etapas não são transparentes para o público, o que dá à empresa a chance de conectar a exploração antes que ela se torne pública. E isso é exatamente o que aconteceu quando Vasily Kravets publicou todos os detalhes sobre a exploração.

Pelo que parece, a Valve continua a ignorar o problema e até lançou uma atualização para o cliente, mas sem a correção. Como está agora, a exploração está à vista e os usuários do Steam estão expostos.


Você pode ler o relatório completo sobre a exploração em amonitoring.ru .

Fonte

Até a próxima !
Cezar Henrique at
Marcadores: Linux, Android, Segurança , , , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)