تاریخ انتشار: ۰۸:۵۷ - ۱۹ مرداد ۱۳۹۸ - 2019 August 10
یک پژوهشگر امنیتی موفق به کشف یک حفره امنیتی روز صفر در کلاینت ویندوز Steam شده اما در کامل ناباوری Valve آن را نادیده گرفته است. در نهایت Vasily Kravets ناچار شده جزئیاتی از اکسپلویت کردن آن منتشر کند تا بلکه بتواند Valve را برای رفع آن تحت فشار بگذارد.

به گزارش آی تابناک : همواره هکرها و پژوهشگرهای امنیتی به دنبال شکار کردن آسیب پذیری های موجود در نرم افزارها، وب سایت، سرویس‌ها و هر چیز دیگری هستند. غالباً آنها برای این کار خود دو دلیل دارند که اولی ماجراجویی و دومی تلاش برای به دست آوردن پاداش است.

در این مورد مشخص Vasily حین بررسی امنیت کلاینت ویندوز Steam، به وجود یک مشکل که هرگز پیش از آن گزارش نشده بود پی می‌برد. هرچند موضوع از نظر فنی از پیچیدگی بالایی برخوردار است، اما در نهایت اکسپلویت کردن موفقیت آمیز آن امکان اجرای برنامه‌ها و کُدهای مخرب را با دسترسی به بالاترین مجوزهای ممکن بر روی سیستم قربانی می‌دهد. به وضوح این یک تهدید برای میلیون‌ها گیمری است که از Steam استفاده می‌کنند.

کافی است یکی از  هزاران توسعه دهنده‌ای که محصول خود را بر روی Steam عرضه می‌کند، تصمیم بگیرد از این آسیب پذیری در خدمت مقاصد خرابکارانه بهره بگیرد. در این صورت قادر خواهد بود به آسانی  سیستم کاربر را به بدافزار دلخواه خود آلوده کند.

شاید تصور کنید Valve بسیار بر روی امنیت Steam حساس است و سریعاً اقدام به رفع آسیب پذیری ها می‌کند اما در عمل مشخص شده به هیچ عنوان چنین نیست. پژوهشگر مورد بحث Valve را از وجود مشکل آگاه می‌کند اما ابتدا آنها گزارش وی را قابل بررسی ارزیابی نمی‌کنند. بعدتر Vasily موفق می‌شود توجه Valve را به یافته‌های خود جلب اما در نهایت آنها یک‌بار دیگر حفره امنیتی موجود در Steam را نادیده می‌گیرند و برای رفع آن هیچ کاری نمی‌کنند.

در نهایت Vasily که از Valve قطع امید کرده، جزئیات یافته‌های خود و اکسپلویت کردن حفره امنیتی موجود در Steam  را علنی می‌کند تا بلکه این کمپانی را مجبور به رفع آن کند. هرچند جزئیات ارائه شده از سوی این پژوهشگر مستقیماً باعث در معرض خطر قرار گرفتن کاربران Steam نمی شود، اما ممکن است توجه مجرمین سایبری و هکرهای خراب کار را جلب کرده باشد.

جالب اینکه Vasily می‌گوید حتی پس انتشار جزئیات اکسپلویت کردن بازهم Valve حفره امنیتی را رفع نکرده و نگارش جدید منتشر شده از کلاینت Steam همچنان آسیب پذیر است.

هرچند موضوع نگران کننده به نظر می رسد، اما اجرای این حملات تنها توسط توسعه دهندگانی که بر روی Steam محتوا قرار می دهند امکان پذیر است.




منبع : شهر سخت افزار 
ارسال نظر
نام:
ایمیل:
* نظر:
فیلم
جدیدترین اخبار