Steam Windows客戶端存在零時差漏洞

一名研究人員發現在 Windows 平台上的 Steam 客戶端存在零時差漏洞,由最初 Valve 表明不會進行修復,至稍後時間推出相關漏洞的補丁,但研究人員表示,該補丁有辦法繞過而令問題持續。

活躍 Steam 用戶高達 9000 萬人
Steam 聲稱全球用戶登記數量高達 10 億人,活躍用戶也有 9000 萬人,因此潛在被攻擊的人數將會十分之多,但 Steam 的母公司 Valve 認為研究人員發現的漏洞在 HackerOne 漏洞獎金平台上並「不適用」。

根據資料,這次被發現的漏洞能夠讓攻擊者提升自己在受害者裝置上的權限,取得最高權限後,在所有安裝了 Steam 客戶端的 Windows 裝置上執行任何程式,即是能夠為所欲為。

攻擊者獲得系統最高使用權限
這次的漏洞存在於 Windows 電腦的 Steam 客戶端內,研究人員發現只要利用象徵性連結 (例如 symlinks) 作為一個檔案或資料夾與另一個之間的捷徑,令電腦在最高用戶權限的情況下啟動服或執行程式。其後有另一位獨立研究人員根據漏洞的概念,在 Github 發表了另一個概念實驗,顯示漏洞可以令攻擊者使用管理員的權限啟動「命令提示元件」。

HackerOne 獎金計劃和 Valve
發現漏洞的研究人員在 6 和 7 月間多次提交發現到 HackerOne,但結果都被拒承認漏洞,並通知他不能公開漏洞詳情,然而在 45 日後他按慣例公開,之後獲 HackerOne 通知接受他的提交,而且 Steam 已針對問題更新客戶端,不過研究人員指出該修正能夠被繞過,而且並沒有得到任何的獎金。

Valve 對外國媒體關於事件的查詢並沒作出回應,而 HackerOne 則表示正查看事件,暫時沒有回應,外媒也曾嘗試聯絡研究人員以取得更多該漏洞在現實世界環境的詳細情況。

資料來源:Threat Post