Elemzés: RCE sebezhetőség a Steam kliensben

 ( trey | 2018. június 1., péntek - 9:25 )

A Context Information Security egy távolról kihasználható kódfuttatás-sebezhetőséget (RCE) talált a Valve Steam kliensében. A sebezhetőséget ugyan már javították, de oktatási céllal most közzétették a részleteket. A fenti demón az látható, hogy a Steam kliensben található RCE sebezhetőséget kihasználva, a támadó képes az áldozat fullra patchelt Windows 10 gépén távolról elindítani a számológép alkalmazást.

This blog post explains the story behind a bug which had existed in the Steam client for at least the last ten years, and until last July would have resulted in remote code execution (RCE) in all 15 million active clients. [...] Our vulnerability was reported to Valve on the 20th February 2018 and to their credit, was fixed in the beta branch less than 12 hours later. The fix was pushed to the stable branch on the 22nd March 2018.

Részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

hogy egy klasszikust idézzek: "megnyitja a calc.exe-t és szenzáció?! :O" :)

--
Vortex Rikers NC114-85EKLS

Itt az ideje biztonsagossa tenni rendszert, toruljeuk le a calc.exe -t ;-)


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

régi szép idők, az nagy thread volt. :D

----------------------------------
szélsőségesen idealista, fősodratú hozzászólás

köszi, jót röhögtem! :-D

Ne-Ne csak a számológépet ne indítsátok el. Könyörgök mindenkinek jobb lesz így.

Hát igen, a régi szép időkben még szokott volt dedikált gomb lenni a billentyűzeten a számológép elindítására, ma már ahhoz is steam meg pythonban írt szerver kell :(

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Gondolom a linuxos Steam-klienst nem érintettte.


No keyboard detected... Press F1 to run the SETUP

Ott nincs calc.exe :D

Van, ha felteszed a Wine-t :)

Vagy felteszed a calc csomagot (C-style arbitrary precision calculator) vagy akármilyen számológépprogramot, és csinálsz a binárisához calc.exe néven symlinket.


No keyboard detected... Press F1 to run the SETUP

Mostantól mindenki számolhat a következményekkel. :)

lol @ minden eddigi komment. :D
--
"Sose a gép a hülye."

nyár van, meleg van és akinek ilyenkor monitor előtt kell rohadnia az rúg, csíp, harap.

--
GPLv3-as hozzászólás.