Steam

Hackeři mohli přes díru ve Steamu ovládnout miliony počítačů. Chyba byla v programu 10 let

Hackeři mohli přes díru ve Steamu ovládnout miliony počítačů. Chyba byla v programu 10 let

22. března vydal Steam pravidelnou aktualizaci, která opravovala překryvy ve hře a problémy s poškozenými položkami ve Steam Workshopu. Řešila také bezpečnostní chybu v klientské aplikaci, umožňující vzdálený přístupu k počítačům uživatelům, spočívající ve spouštění kódu a převzetí kontroly útočníkem.

Bezpečnostní expert Tom Court informoval o této chybě na svém blogu, kde vysvětluje způsob útoku na úrovni síťových paketů protokolu UDP. Pro názornost publikoval také video, ve kterém ukazuje takový útok v praxi. V tomto případě se jedná o neškodné spuštění aplikace kalkulačky, nicméně teoreticky bylo možné vyvolat na vzdáleném počítači prakticky jakýkoli kód a tím nad ním převzít kontrolu.

Naštěstí firma Valve Corporation, které Steam patří, začala jednat prakticky hned, jak se o zranitelnosti dozvěděla. Záplatu vydala do beta sestavení pouhých osm hodin po ohlášení, což je nesporně chvályhodný výkon. V červenci loňského roku proto implementovala do klientské aplikace bezpečnostní funkci známou jako ASLR. Aby hackeři mohli posílat škodlivé pakety, museli by se ke zneužití této chyby zabezpečení „nabourat“ do spojení mezi klientem a serverem Steamu. V praxi tedy nebyl útok na jednotlivé uživatele tak triviální, jak se na první pohled může zdát.

Objevitel zranitelnosti Court uvedl, že se jednalo o velmi jednoduchou chybu, jejíž zneužití bylo relativně přímočaré kvůli nedostatku moderních ochranných prostředků. Zranitelný kód byl pravděpodobně velmi starý, ale protože fungoval, vývojáři pravděpodobně neviděli žádný důvod do něj zasahovat. Kvůli tomu se uvedená bezpečnostní díra nacházela v klientské aplikaci dlouhých deset let, než byla objevena, nahlášena a opravena. V ohrožení tak bylo zhruba 125 milionů uživatelů této platformy pro digitální distribuci her a softwaru.

Společnost Valve Corporation se k problému veřejně nevyjádřila, nicméně poděkovala Courtovi v seznamu posledních provedených změn v březnové aktualizaci. Court situaci komentuje tak, že vývojáři by měli neustále kontrolovat starý a stárnoucí kód, aby měli jistotu, že odpovídá „moderním bezpečnostním normám“.

Diskuze (20) Další článek: Cortana dostane kamarádky. Google Asistentka s Alexou se podívají na Xbox One

Témata článku: Bezpečnost, Hacking, Steam, Kód, Loňský rok, Bezpečnostní expert, Aplikace, Pravidelná aktualizace, Pouhá hodina, Síťový paket, Počítač, Objevitel, Milión počítačů, Starý kód, Díra, Zranitelný kód, Počítač uživatelů, Valve Corporation, Březnová aktualizace, Klientská aplikace, Hacker, Vzdálený přístup, Remote Cod Execution, Digitální distribuce, Steam Workshop



České televize se tak moc bojí videoher, až je to směšné (komentář)

České televize se tak moc bojí videoher, až je to směšné (komentář)

** Jeden z největších obchodů historie se nedostal do hlavních zpráv ** Videohry televizím slouží jen k honění senzací, není to seriózní byznys ** České videohry jsou přitom úspěšnější než jiná kulturní díla

Lukáš Václavík
HryKomentářByznys
Antimalware Norton 360 těží kryptoměny. Výrobce si nechává 15% provizi, uživatelé jsou zmatení

Antimalware Norton 360 těží kryptoměny. Výrobce si nechává 15% provizi, uživatelé jsou zmatení

** Norton chrání před těžarskými skripty, sám přitom takový obsahuje ** Některým uživatelům se spouští, aniž by o tom věděli ** Jeho zrušení není úplně triviální

Petr Urban
AntivirusKryptoměnyBezpečnost
Programování elektroniky: Naučte se Arduino teď hned a přímo v prohlížeči

Programování elektroniky: Naučte se Arduino teď hned a přímo v prohlížeči

** Arduino můžete naprogramovat bez jediné součástky ** Pomůže webový prohlížeč a simulátor Wokwi ** Nabízí desítky virtuálních součástek včetně motorů a displejů

Jakub Čížek
ArduinoPojďme programovat elektroniku
9 nejlepších českých webů, kde lze stáhnout filmy a seriály

9 nejlepších českých webů, kde lze stáhnout filmy a seriály

** Když selžou legální zdroje, můžete se zkusit obrátit na služby pro stahování souborů ** Ulož.to není zdaleka jediné, které nabízí videoobsah ke stažení ** Konkurenční služby nabízí levnější placené účty

redakce
TipyHudba, filmy, seriályWeb
Jak se šíří covid v Česku: Čerstvá data, účinek očkování, mapy okresů, srovnání se světem. Pravidelně aktualizované grafy

Jak se šíří covid v Česku: Čerstvá data, účinek očkování, mapy okresů, srovnání se světem. Pravidelně aktualizované grafy

** Vývoj COVID-19 v Česku: nakažení, úmrtí, testovaní, hospitalizovaní ** Mapa podle okresů, přehled podle věku, situace v Evropě i ve světě ** Pravidelně aktualizované grafy a mapy

Marek Lutonský
COVID-19Koronavirus
Vybíráme nejlepší monitory pod stromeček. Od levných až po displeje na rozmazlování očí

Vybíráme nejlepší monitory pod stromeček. Od levných až po displeje na rozmazlování očí

** Vybrali jsme nejlepší monitory na práci i pořádné hraní ** Nejlevnější monitor s kvalitním panelem stojí jen tři tisíce ** Rozlišení 4K a větší obrazovka už není nedostupný luxus

Jiří Kuruc
Monitory
Jak stáhnout video z Youtube: 10 nejlepších nástrojů

Jak stáhnout video z Youtube: 10 nejlepších nástrojů

** Vybrali jsme deset nejlepších nástrojů pro stahování videa z YouTube ** Můžete si vybrat, jestli chcete aplikaci, doplněk do browseru nebo webovou službu ** Videa z YouTube poté můžete sledovat offline

Karel KiliánStanislav Janů
TipyNejlepší programy