Исследователь безопасности Василий Кравец из компании «Перспективный мониторинг» рассказал об уязвимости в клиенте Steam, позволяющей получить привилегии на чужом PC и сделать на нём что-угодно.
Довольно иронично обнаружить, что лаунчер, который фактически предназначен для того, чтобы запускать сторонние программы на вашем компьютере, позволяет им втихую получить максимальные привилегии. Вы уверены, что бесплатная игра, сделанная на коленке неизвестным разработчиком, будет вести себя честно? Верите, что за скидку в 90% вы не получите скрытый майнер?
Обнаружить её было легко и, как уверяет Кравец, её наверняка находили до этого, однако никто не описывал это публично.
Исследователь сообщил Valve о проблеме, но компания решила не исправлять её. Представитель заявил о необходимости физического доступа к устройству пользователя для атаки, но Кравец не согласен с этим. По его мнению, Valve попросту не заинтересована в этом.
Я очень разочарован. Серьезная компания, которая пишет пафосные слова о том, что безопасность важна, открывает ваш компьютер для максимального доступа любым программам, которые вы запускаете.
За день до публикации для Steam выпустили обновление, которое ничего не исправило. Исследователь не призывает удалять клиент магазина, однако просит внимательно следить за всеми действиями и активностью.
Почти 11 лет сижу в Steam и как бы ничего подобного не замечал!