Otrzymał ~70 000 PLN za podatność w kliencie Steam. Można dostać się na komputer gracza jeśli odwiedzi on „zwykłą” stronę

16 marca 2019, 10:41 | Aktualności, W biegu | komentarzy 5
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Podatność opisana jest tutaj, wypłata $18 000.  Buga załatano niedawno w kliencie Steam dla Windows, Linux, OS X (choć ta ostatnia prawdopodobnie nie jest wykorzystywalna – ma wkompilowaną pewną ochronę przed podatnościami klasy buffer overflow).

Pełen atak polega na wejściu ofiary na zainfekowaną stronę webową, po czym na komputerze ofiary odpala się polecenie, wskazane wcześniej przez atakującego.

Atakujący wcześniej musiał przygotować swój podstawiony ‚server browser’ – klient Steam komunikuje się z nim protokołem UDP i to właśnie odpowiednio spreparowane pakiety powrotne aktywują podatność (całego procesu ofiara jednak nie widzi).

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Ant

    Szkoda, że w artykule nie zamieszczono więcej technicznych szczegółów.
    Jakby się zastanowić to pewnie istnieje możliwość, że jakaś zainfekowana strona doda keyloggera lub skasuje nam dane z dysku.

    Odpowiedz
  2. John Sharkrat

    „Otrzymał ~70 000 PLN ” – a po co komuś PLN-y?

    PS.
    Może się zdecydujecie czy otrzymał PLN czy $.

    Odpowiedz

Odpowiedz