• 10 éves biztonsági részt találtak a Steamen
  • Mind a 125 millió felhasználót veszélyeztette
  • Egy RCE bugról van szó
  • Pár hete javították

Egy évtizeden keresztül minden Steamet használó játékos veszélynek volt kitéve. A 125 millió felhasználóval rendelkező platform egy olyan remote code execution (távoli kódfuttatás, RCE) buggal volt megfertőzve, ami már 10 éve a kliens részeként működött.

Tom Court, a Contextis biztonsági kutatója figyelt fel a kódhibára. „A szemfüles felhasználóknak feltűnhetett, hogy pár hete érkezett egy frissítés a Steamhez, ami frissítette a klienst, [és kijavította a hibát]. Egy hétköznapi bugról beszélünk, ami lefektette az alapokat a felhasználók könnyűszerű kizsákmányolásához.” -- írta Tom.

 A bug egy egyszerű ellenőrzés hiányának eredménye, aminek futtatása ahhoz lenne fontos, hogy a biztosítsák a fragmentált datagrammok ideális méretét, vagyis hogy azok kisebbek, vagy egyenlő méretűek legyenek, mint a teljes datagram. Tom Court egy videóban mutatta be, minként használható ki a bug, ami eljutott a Steamért felelős csapathoz. A hiba kiaknázását követően a csapat a javítást eszközölő patch-hez tartozó leírásban megköszönte Courtnak, hogy felhívta figyelmüket a hibára.

steam-games-kep-cikkhez.jpg