原标题:Steam客户端存在一个10年的远端程式码执行漏洞,Valve紧急修补
资安公司Context△Information△Security资深研究员Tom△Court发现,游戏平台Steam客户端存在一个至少10年的远端程式码执行漏洞,而这个漏洞影响每月1,500万的活跃用户,游戏公司Valve在收到资安通报后,紧急在12小时内就释出安全性补丁。
Steam客户端函式库的堆积(Heap)崩溃漏洞能被远端触发,该区程式码是用来处理并重组多个UDP资料封包,Steam客户端依赖自定义的协议进行通讯,这个协议建立于UDP之上。简单来说,这个错误发生于,客户端程式没有对分段资料包的第一个资料封包进行基本的检查,以确保指定的封包长度小于或是等于总资料包的长度,Tom△Court认为这是一个疏忽,因为在后续传输的封包都有经过检查。
在现代作业系统中,单独的堆积崩溃漏洞很难控制,因此也不容易被利用于远端程式码执行攻击,但是Steam自定义的记忆体分配器,以及在2017年7月之前,steamclient.dll二元档中还没有使用位址空间配置随机载入(Address△Space△Layout△Randomisation,ASLR)保护技术,因此大幅提高了这个漏洞被利用的可能性,
Tom△Court表示,这是一个简单的漏洞,在缺乏现代化资安技术的保护下,漏洞被利用起来也相对简单许多。他在今年2月告知Valve该漏洞,而Valve也在12小时内就在客户端测试版发布了修正补丁,并在3月22日以将正式版推送给所有玩家,目前没有证据显示该漏洞曾被利用来发动攻击。
这个漏洞之所以存在这么久还没有被发现,Tom△Court认为,由于这部分程式运作良好,开发者似乎也没有特别的理由更新,但这反而是一个很好的教训,定期检查包含老旧程式码的程式显得十分重要,以确保这些程式符合现代安全标准,因此他认为,Valve应该全面检查Steam客户端的程式码。
另外,他还提到,在Context△Information△Security通过电子邮件通知Valve漏洞后,在约莫8小时过后,第一个修复程式已经产生且推送成为客户端测试版分支,这个过程非常快速,有别于不少供应商漫长的往返沟通,目前Valve是Context△Information△Security心中修复排行榜中的第一快。
相关:
图片来源: Ruslan△Habalov 目前任职于Google的安全工程师Ruslan△Habalov本周四(5/31)在他的个人博客中披露,Chrome与Firefox于实现CSS混合模式(mix-blind-mode)功能时出现了旁路(side-channel)漏洞,将会泄露
图片来源: ZDI 趋势科技旗下的零时差倡议(Zero-Day△Initiative,ZDI)专案本周揭露微软Windows作业系统中的JScript元件含有一零时差漏洞,将允许骇客自远端执行任意程式。JScript与JavaScript是同样的程式语言,为
图片来源: US-CERT 美国联邦调查局(FBI)及国土安全部周三联合对大众发布警告,表示朝鲜政府正以木马与蠕虫程式在网络上发动攻击,用以骇入电脑、窃取密码及重要资讯,台湾也被发现在感染范围内。这波攻击行动与名为
微软Visual△Studio团队服务专案经理Edward△ThomsonMay在DevOps博客提到,近日Git社交发现了Git存在一个可让骇客执行任意程式码的漏洞,他呼吁,开发者应尽速更新客户端应用程序,而微软也已经采取进一步防护,避免
示意图,与新闻事件无关。 图片来源: Uber Uber本周更新了美国市场的Uber程式,于安全中心页面上增加了911紧急按键,以同时保障乘客与驾驶的安全。为了保障乘客的安全,Uber每年都会主动审核司机的背景,也会监控司