亲爱的用户,你好:为了提升您的访问速度,我们根据您的IP地址,为您推荐直接浏览Dealmoon中文站。
请选择:
继续浏览中文站 浏览英文站
首页 电子电脑 电子游戏 Steam 曝重大安全漏洞 【8/12】全体 Steam 玩家注意了, 小心电脑变矿机
Steam 曝重大安全漏洞【8/12】全体 Steam 玩家注意了, 小心电脑变矿机 去购买

更新于95天前

【8/12】全体 Steam 玩家注意了, 小心电脑变矿机

Steam 曝重大安全漏洞

爱游戏,爱生活。我是游戏君。Steam平台作为PC端最大的游戏平台,想必大家都已耳熟能详。孕育了《Dota 2》和《绝地求生》等超多爆款PC游戏的Steam平台一直是PC玩家娱乐的首选。然而近日,据外媒报道,Steam客户端版本发现有0Day特权升级漏洞,该漏洞可允许具有有限权限的攻击者以管理员身份运行程序。

 

2018051085537776.jpg

图片来自于@Steam,版权属于原作者

 

黑客可能会利用该漏洞对玩家的个人主页动手脚,利用脚本、挂马实施XSS攻击。

 

dFFaCY6c8AqAQdSCgiPwmn.jpg
图片来自于@Ubisoft,版权属于原作者

 

根据安全研究员Vasily Kravets公布的资料可知:因为某些内部的原因,Steam在玩家电脑上安装了“Steam Client Service(Steam客户端服务)”,通过该服务“用户”组的任何一位用户都可以启动或停止电脑上的服务。

  

nqanOfbnrAEghCb.png
图片来自于@Vasily Kravets,版权属于原作者

 

简单来说,就是当Steam客户端启动时,软件将会自动为一系列注册表项目的相关权限提供许可,让Steam软件可以进行相关的操作。而这也正是安全漏洞的所在,某些不法分子可以通过技术手段接取该权限,让自己获得玩家电脑的最高权限。

 

hpxoVibnrAEgikb.png
图片来自于@Vasily Kravets,版权属于原作者

  

sJKKcbbnrAEghxc.png
图片来自于@Vasily Kravets,版权属于原作者

  

此外,由于这些程序拥有了最高权限,一些潜在的危险还会越过管理员权限,造成更大损害,例如:禁用杀毒软件、隐藏和更改用户电脑的任何文件,甚至还可以窃取个人隐私。

 

Nier_Automata_Commander-740x416.jpg
图片来自于@尼尔,版权属于原作者

 

不过比较有意思的是,Vasily Kravets表示早在6月15日他就已经通过HackerOne向Valve报告了这个漏洞。但是相关的工作人员却并没有重视该漏洞,HackerOne工作人员先后两次拒绝了Vasily Kravets的漏洞提交。

 

当Vasily Kravets的漏洞报告被拒绝后,他曾经通知相关人员(HackerOne员工),将在7月30日之后公布漏洞信息。不过,随后Vasily Kravets发现Steam在8月6日进行的更新中依旧没有修复相关的漏洞,因此他不得不将这项漏洞公之于众,同时希望Steam开发人员及时修复。

 

面对这一重大漏洞,Vasily Kravets建议目前所有Steam用户现在绝对不要浏览或者点击任何可疑的个人页面,包括自己的个人活动反馈也不要打开,他建议现在立刻禁用浏览器的JavaScript。

 

social-og.jpg
图片来自于@Steam,版权属于原作者

 

3DM 也同样对此提出了暂时性的解决方案:目前只能通过“打开控制面板-管理工具-组件服务-服务(本地),找到steam client service,右键属性,启动类型改为禁用”。不过这个仅只能暂时解决问题。如果大家发现后台程序“steam client service”占用内存和显卡过大的情况,就应该注意了。

 

Most-popular-and-highest-rated-games-currently-on-Steam.jpg
图片来自于@Steam,版权属于原作者

 

游戏君认为对于一般玩家来说其实影响并不是很大,如果电脑中有非常重要的机密文件的话,那就要小心注意了,特别是公司的电脑,如果上面也安装了Steam的话,那就要多多留心了。

 

上期电玩日报

关注电玩新站区,游戏君带你看点好玩儿的

评论
名字(选填)

loading...

猜你喜欢

推荐好货