Steam Chat стартовал с серьезной уязвимостью

Valve наконец-то запустила долгожданный обновленный Steam Chat, превращающий общение в магазине в что-то очень близкое к популярному сервису Discord. Пользователи точно так же могут публиковать в чате картинки и видео, создавать группы, перетаскивать и приглашать новых людей, болтать с друзьями и вести прочую насыщенную социальную жизнь.

Однако не обошлось и без эксцессов. Практически сразу после начала работы Steam Chat стало известно об эксплойте, позволявшем подслушивать людей из своего списка друзей без их ведома.

Steam давала доступ к компьютерам пользователей

Суть эксплойта была опубликована в Reddit и затем разбежалась по Сети, вызвав народную обеспокоенность. Однако Valve отреагировала достаточно оперативно и законопатила дыру.

После чего представитель компании пожурил растрезвонившего об эксплойте человека за то, что он сообщил о нем широкой общественности, а не в специальной группе HackerOne, где собираются добровольные исследователи Steam на предмет различных уязвимостей.

Исследователи компании Context опубликовали отчет, согласно которому в PC-клиенте игрового сервиса Steam на протяжении 10 лет работала опасная уязвимость. Баг позволял хакерам удаленно захватывать управление компьютерами пользователей.

Исправление наихудших последствий, пишет автор исследования Том Корт, появилось лишь в июле прошлого года, когда Valve внедрила технологию ASLR. Подтверждений о том, что уязвимостью действительно пользовались злоумышленники, нет. Но по оценкам Корта, до марта этого года она несла угрозу 125 млн пользователям, поскольку открывала доступ к системе. Постоянной угрозе подвергались около 15 млн активных юзеров.

Steam продолжил существование

После июльского патча баг продолжил существование, но в более безобидной форме. Максимум он был способен обрушить клиент Steam. Но при объединении с другой уязвимостью, указывает Корт, такую связку можно было использовать для исполнения стороннего кода на пользовательских устройствах.

Valve не ответила на запросы журналистов о ситуации. Зато, как рассказывает Корт, когда он впервые обратился с отчетом по этой проблеме, исправление появилось в бета-версии уже спустя 8 часов.

Сам автор исследования пишет:

«Факт того, что такой простой баг с настолько серьезными последствиями существовал в популярном приложении на протяжение многих лет, — удивителен в 2018 году. Это должно служить воодушевлением для всех исследователей, чтобы находить и сообщать о большем количестве уязвимостей».

22 марта, когда вышла стабильная версия апдейта и угрозу полностью ликвидировали, Корта поблагодарили в релизном сообщении.

Steam получил расширенные настройки списка друзей

Valve запустила бету «небольшого» обновления Steam несколько месяцев назад. Steam получил расширенные настройки списка друзей. Кроме того, теперь в чат встраиваются видео, изображения, твиты и другое.

Добавлять друзей в чат можно простым перетягиванием. Групповые чаты теперь можно сохранять, назначать аватары, называть и заходить, когда хочется, чтобы продолжить общение.

Появились групповые чаты для игр. Постоянные групповые чаты позволяют узнать, что нового в кругу общения, сразу после входа в Steam. Если регулярно играть с теми же людьми, групповой чат поможет увидеть, кто в сети и готов сыграть. Появилась возможность добавлять каналы и рассылать приглашения в них по ссылкам, как в Discord.

Комментировать

Расскажите, а что вы думаете об этом?

Отправить