کوتاهی Valve در رفع یک آسیب‌پذیری
هشدار جدی به Valve درباره آسیب‌پذیری در Steam
کد مطلب: 15660
تاریخ انتشار : سه شنبه ۲۲ مرداد ۱۳۹۸ ساعت ۰۸:۵۷
 
جزییاتی از حفره امنیتی Steam که Valve علی‌رغم هشدارهای کارشناسان امنیتی درباره آن بی‌توجهی کرده‌بود برای تحت فشار قرار دادن این شرکت در جهت رفع آن، افشا شد.
هشدار جدی به Valve درباره آسیب‌پذیری در Steam
 
 
Share/Save/Bookmark
جزییاتی از حفره امنیتی Steam که Valve علی‌رغم هشدارهای کارشناسان امنیتی درباره آن بی‌توجهی کرده‌بود برای تحت فشار قرار دادن این شرکت در جهت رفع آن، افشا شد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک پژوهشگر امنیتی موفق به کشف یک حفره امنیتی روز صفر در کلاینت ویندوز Steam شده‌است، اما  Valve در کمال ناباوری، آن را نادیده گرفته‌است. درنهایت Vasily Kravets ناچار شد جزییاتی از اکسپلویت کردن آن منتشر کند تا بلکه بتواند Valve را برای رفع آن تحت فشار بگذارد.

همواره هکرها و پژوهشگرهای امنیتی به دنبال شکار کردن آسیب‌پذیری‌های موجود در نرم‌افزارها، وب‌سایت، سرویس‌ها و هر چیز دیگری هستند. غالباً آنها برای این کار خود دو دلیل دارند که اولی ماجراجویی و دومی تلاش برای به دست آوردن پاداش است.

در این مورد مشخص Vasily حین بررسی امنیت کلاینت ویندوز Steam، به وجود یک مشکل پی می‌برد که پیش از آن هرگز گزارش نشده‌بود. هرچند موضوع از نظر فنی، پیچیدگی بالایی دارد، اما درنهایت اکسپلویت کردن موفقیت‌آمیز آن امکان اجرای برنامه‌ها و کُدهای مخرب را با دسترسی به بالاترین مجوزهای ممکن بر روی سیستم قربانی می‌دهد. به وضوح این یک تهدید برای میلیون‌ها گیمری است که از Steam استفاده می‌کنند.

کافی است یکی از هزاران توسعه دهنده‌ای که محصول خود را بر روی Steam عرضه می‌کند، تصمیم بگیرد از این آسیب پذیری در خدمت مقاصد خرابکارانه بهره بگیرد. در این صورت قادر خواهد بود به آسانی سیستم کاربر را به بدافزار دلخواه خود آلوده کند.

شاید تصور کنید Valve بسیار بر روی امنیت Steam حساس است و سریعاً اقدام به رفع آسیب پذیری ها می‌کند اما در عمل مشخص شده به هیچ عنوان چنین نیست. پژوهشگر مورد بحث Valve را از وجود مشکل آگاه می‌کند، اما ابتدا آنها گزارش وی را قابل بررسی ارزیابی نمی‌کنند. بعدتر Vasily موفق می‌شود توجه Valve را به یافته‌های خود جلب اما در نهایت آنها یک‌بار دیگر حفره امنیتی موجود در Steam را نادیده می‌گیرند و برای رفع آن هیچ کاری نمی‌کنند.

درنهایت Vasily که از Valve قطع امید کرده، جزییات یافته‌های خود و اکسپلویت کردن حفره امنیتی موجود در Steam را علنی می‌کند تا بلکه این کمپانی را مجبور به رفع آن کند. هرچند جزییات ارائه‌شده از سوی این پژوهشگر مستقیماً باعث در معرض خطر قرار گرفتن کاربران Steam نمی‌شود، اما ممکن است توجه مجرمان سایبری و هکرهای خرابکار را جلب کرده‌باشد.

جالب اینکه Vasily می‌گوید حتی پس انتشار جزییات اکسپلویت کردن بازهم Valve حفره امنیتی را رفع نکرده و نگارش جدید منتشر شده از کلاینت Steam همچنان آسیب‌پذیر است.

هرچند موضوع نگران‌کننده به نظر می رسد، اما اجرای این حملات تنها توسط توسعه‌دهندگانی که بر روی Steam محتوا قرار می‌دهند ممکن است.
مرجع : تابناک