网曝Steam出现重大暗区漏洞 玩家电脑可被不法分子劫持当矿机

2019-08-10 08:35:45 我要纠错
神评论

17173 新闻导语

网传Steam出现安全漏洞 玩家电脑可能会被当成矿机

【17173新闻报道,转载请注明出处】

现如今Steam已经是全世界大部分玩家电脑上必转的软件之一,因此对于Steam的安全性也是很多用户关注的重点。近日,reddit论坛上有网友爆料,安全研究员Vasily Kravets发现了Steam的重大安全漏洞,该漏洞有可能被让玩家的电脑成为不法分子的矿机。

>>报告传送门

1.png

根据安全研究员Vasily Kravets公布的资料可知:因为某些内部的原因,Steam在玩家电脑上安装了“Steam Client ServiceSteam客户端服务)”,通过该服务“用户”组的任何一位用户都可以启动或停止电脑上的服务。

简单来说,就是当Steam客户端启动时,软件将会自动为一系列注册表项目的相关权限提供许可,让Steam软件可以进行相关的操作。而这也正是安全漏洞的所在,某些不法分子可以通过技术手段接取该权限,让自己获得玩家电脑的最高权限。

2.png

安全研究员Vasily Kravets表示,某些不法分子可以通过在Steam平台上上传免费游戏等手段,利用该漏洞来获得玩家电脑的控制权,让其成为自己矿机。此外,由于这些程序拥有了最高权限,一些潜在的危险还会越过管理员权限,造成更大损害,例如:禁用杀毒软件、隐藏和更改用户电脑的任何文件,甚至还可以窃取个人隐私。

3.png

4.png

不过比较有意思的是,Vasily Kravets表示早在615日他就已经通过HackerOneValve报告了这个漏洞。但是相关的工作人员却并没有重视该漏洞,HackerOne工作人员先后两次拒绝了Vasily Kravets的漏洞提交

Vasily Kravets的漏洞报告被拒绝后,他曾经通知相关人员(HackerOne员工),将在730日之后公布漏洞信息。不过,随后Vasily Kravets发现Steam86日进行的更新中依旧没有修复相关的漏洞,因此他不得不将这项漏洞公之于众,同时希望Steam开发人员及时修复。

目前Steam官方并没有对该消息做出回应,感兴趣的玩家可以持续关注一下。

>>报告传送门


【17173新闻写手团队招募启事】

你是不是每天都在关注全球游戏动态(主机、手游、Steam等等)?

你是不是热衷于某个类型的游戏(独立、古风、换装、养成、动作、文字冒险等等)?

你是不是有很多想法不吐不快

顺便,你还是一个社交平台的重度使用者,喜欢和朋友分享有趣的事情

如果是的话,欢迎加入17173新闻创作团队!

你将获得竞争力的稿酬,有机会抢先试玩新游,并和小伙伴们一起疯狂吐槽!

有意者请加群:697308043 17173新闻兼职写手群 或扫码以下二维码进群↓

1561529321920.png

【编辑:GreyKnight】

你不知道点进去会是什么