جزییاتی از حفره امنیتی Steam که Valve علیرغم هشدارهای کارشناسان امنیتی درباره آن بیتوجهی کردهبود برای تحت فشار قرار دادن این شرکت در جهت رفع آن، افشا شد.
منبع : تابناک
جزییاتی از حفره امنیتی Steam که Valve علیرغم هشدارهای کارشناسان امنیتی درباره آن بیتوجهی کردهبود برای تحت فشار قرار دادن این شرکت در جهت رفع آن، افشا شد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک پژوهشگر امنیتی موفق به کشف یک حفره امنیتی روز صفر در کلاینت ویندوز Steam شدهاست، اما Valve در کمال ناباوری، آن را نادیده گرفتهاست. درنهایت Vasily Kravets ناچار شد جزییاتی از اکسپلویت کردن آن منتشر کند تا بلکه بتواند Valve را برای رفع آن تحت فشار بگذارد.
همواره هکرها و پژوهشگرهای امنیتی به دنبال شکار کردن آسیبپذیریهای موجود در نرمافزارها، وبسایت، سرویسها و هر چیز دیگری هستند. غالباً آنها برای این کار خود دو دلیل دارند که اولی ماجراجویی و دومی تلاش برای به دست آوردن پاداش است.
در این مورد مشخص Vasily حین بررسی امنیت کلاینت ویندوز Steam، به وجود یک مشکل پی میبرد که پیش از آن هرگز گزارش نشدهبود. هرچند موضوع از نظر فنی، پیچیدگی بالایی دارد، اما درنهایت اکسپلویت کردن موفقیتآمیز آن امکان اجرای برنامهها و کُدهای مخرب را با دسترسی به بالاترین مجوزهای ممکن بر روی سیستم قربانی میدهد. به وضوح این یک تهدید برای میلیونها گیمری است که از Steam استفاده میکنند.
کافی است یکی از هزاران توسعه دهندهای که محصول خود را بر روی Steam عرضه میکند، تصمیم بگیرد از این آسیب پذیری در خدمت مقاصد خرابکارانه بهره بگیرد. در این صورت قادر خواهد بود به آسانی سیستم کاربر را به بدافزار دلخواه خود آلوده کند.
شاید تصور کنید Valve بسیار بر روی امنیت Steam حساس است و سریعاً اقدام به رفع آسیب پذیری ها میکند اما در عمل مشخص شده به هیچ عنوان چنین نیست. پژوهشگر مورد بحث Valve را از وجود مشکل آگاه میکند، اما ابتدا آنها گزارش وی را قابل بررسی ارزیابی نمیکنند. بعدتر Vasily موفق میشود توجه Valve را به یافتههای خود جلب اما در نهایت آنها یکبار دیگر حفره امنیتی موجود در Steam را نادیده میگیرند و برای رفع آن هیچ کاری نمیکنند.
درنهایت Vasily که از Valve قطع امید کرده، جزییات یافتههای خود و اکسپلویت کردن حفره امنیتی موجود در Steam را علنی میکند تا بلکه این کمپانی را مجبور به رفع آن کند. هرچند جزییات ارائهشده از سوی این پژوهشگر مستقیماً باعث در معرض خطر قرار گرفتن کاربران Steam نمیشود، اما ممکن است توجه مجرمان سایبری و هکرهای خرابکار را جلب کردهباشد.
جالب اینکه Vasily میگوید حتی پس انتشار جزییات اکسپلویت کردن بازهم Valve حفره امنیتی را رفع نکرده و نگارش جدید منتشر شده از کلاینت Steam همچنان آسیبپذیر است.
هرچند موضوع نگرانکننده به نظر می رسد، اما اجرای این حملات تنها توسط توسعهدهندگانی که بر روی Steam محتوا قرار میدهند ممکن است.