Valve уже два месяца не реагирует на критическую уязвимость Steam

[SerGEAnt 19 928]

Российская компания «Перспективный мониторинг» опубликовала информацию о серьезной уязвимости Steam, на которую Valve уже почти два месяца никак не реагирует.

---

Российская компания «Перспективный мониторинг» опубликовала информацию о серьезной уязвимости Steam, на которую Valve уже почти два месяца никак не реагирует.

Описание уязвимости опубликовано на сайте компании (на английском) и на Хабре (на русском). Она позволяет путем не самых сложных манипуляций получить возможность выполнять любые команды от имени системы на актуальных версиях Windows.

Забавно, что для модерации найденных уязвимостей Valve пользуется услугами компании HackerOne. Сначала ее сотрудники отклонили заявку на уязвимость, но после уточнений все же подтвердили ее и передали в Valve. Но та снова ее отклонила по непонятной причине.

По всей видимости, уязвимость, позволяющая злоумышленнику с легкостью получить системные права на вашем ПК, присутствует в Steam с незапамятных времен.

[Northern 3 264]

4 минуты назад, Freeman665 сказал:

чет не помню такого. Была новость, где его в твиттере матюкали, но угроз не помню.

Даже в Стиме было. В тех же отзывах по Метро. Но тогда Галенкин был звездой.

[Freeman665 6 653]

Только что, Northern сказал:

Даже в Стиме было. В тех же отзывах по Метро.

понятно. Я такое не читаю.

[the punisher 280]

35 минут назад, Northern сказал:

Ну, если Гейба журят любя, то конкуренту даже смертоубийством угрожают. Даже на ЗоГе встречаются подобные имбецилы.
Это печально.

на счёт смертоубийства не знаю, но то, что чуть ли не личную жизнь испортил, это точно.

теперь спать нормально не могут, и душевные терзания/неудобства испытывают.

[DerpX 8]

20 часов назад, AthenaMyGoddess сказал:

Я тебе еще больше скажу, она раньше стоила 1999 рублей, на нее была скидка -50% ценник стал 999 рублей, а теперь она стоит опять 1999 рублей. Вот же сволочи!  Ух, надо было как в ЕГСушке халяльном, в полтора раза ценник поднять то!

Никогда такого не было. И вот, опять! (с)

Ну то есть, когда в стиме с ценой ошибаются — на то можно глазки закрывать. А тут — целая трагедия. Напомню, на старте Прей стоил 1049 рублей. Спустя некоторое время ценник подняли до 2к. Тоже самое с No Man's Sky — на старте стоила 1049 рублей, а через время — 2к рублей.

Ещё пример — удорожание игр Юбисофт в стиме. До определённого момента Far Cry 3 стоил 599 рублей. Потом стал 1499, а сейчас  — 999 рублей. 

И что с того, спрашивается? Ну да, ценники там правили оперативней (кроме удорожания игр по типу юбисофта), но прецеденты-то были. Почему именно в ЕГС это настолько большая проблема, что именно это в вину ставится? На мой взгляд, намного большей проблемой (при том — не для покупателей) являлась скидка на предзаказы, что, естественно, повлияет на продажи этих игр в будущем. Ну, как говорится, первый блин комом. В следующей распродаже может не станут на грабли наступать и скидок на предзаказы не будет.

П.С: а сильнейшего провала, чем летняя распродажа стима, я вообще припомнить не могу. Ни скидок интересных, ни развлечения в виде эвента. Честно — я был бы намного более рад 10$ скидки на каталог стима, чем то, что они сделали (и 100 рублям скидки, ага).

Изменено 9 августа, 2019 пользователем DerpX

[Freeman665 6 653]

1 час назад, DerpX сказал:

Почему именно в ЕГС это настолько большая проблема, что именно это в вину ставится?

потому что Суини воняет слишком много о том, какие они хорошие и как его магазин облагораживает индустрию, да еще всяких троллей нанимает, твердящих тоже самое. Раз балаболит, пускай и получает по полной.

Изменено 9 августа, 2019 пользователем Freeman665

[Northern 3 264]

57 минут назад, Freeman665 сказал:

потому что Суини воняет слишком много

Не по этому.
Как только детей перестали воспитывать и пороть когда надо, так и началось все это дерьмо в мире.

[the punisher 280]

34 минуты назад, Northern сказал:

Не по этому.
Как только детей перестали воспитывать и пороть когда надо, так и началось все это дерьмо в мире.

Все верно глаголишь.

Здоровое воспитание детей перерастает в здоровое общество.

Начинается пофигизм в воспитании- начинается то, что ты описал. 

[Freeman665 6 653]

53 минуты назад, Northern сказал:

Как только детей перестали воспитывать и пороть когда надо, так и началось все это дерьмо в мире.

есть невоспитанные дети, а есть невоспитанные дети с большими бабками. Как раз от них и все дерьмо в мире.

[the punisher 280]

6 минут назад, Freeman665 сказал:

есть невоспитанные дети, а есть невоспитанные дети с большими бабками. Как раз от них и все дерьмо в мире.

это не отменяет правильность коммента)

[SerGEAnt 19 928]

В 07.08.2019 в 21:50, Faverman сказал:

почему же непонятной. Вполне понятной “Attacks that require physical access to the user’s device.”

Но если злоумышенник получит физический доступ к вашему компу он и так что захочет сделает. Так что “проблема” яйца выеденого не стоит.

Делаем эксплоит, пихаем его в игру типа “СЛАВА УКРАИНЕ”, публикуем ее в Steam за $100 — вот вам и физический доступ и делайте с ПК покупателей все, что хотите.

В 08.08.2019 в 10:40, Siberian GRemlin сказал:

Ты в этом уверен?! Тут эти жёлтые новости и вбросы на вентилятор уже не первый год, и ответ администрации по этому вопросу давно дан — такие «новости» находят больший отклик публики. По той же причине процветают передачи Малахова и пр. Единственный способ от этого избавиться — игнорировать.

У тебя плохо получается. В каждой новости по пять комментариев и палец, зависший на дизлайке. Конструктив так и прет!

[0wn3df1x 3 208]

2 часа назад, SerGEAnt сказал:

Делаем эксплоит, пихаем его в игру типа “СЛАВА УКРАИНЕ”, публикуем ее в Steam за $100 — вот вам и физический доступ и делайте с ПК покупателей все, что хотите.

Возможно немного тоньше. Изначально файлы основного билда проходят автоматизированную проверку, которая занимает время. А затем, что сделано для удобства разработчиков (типа хотфикс быстро выкатить, если что-то сломано), можно бесконечно клепать обновления для игры, и в одном из таких обновлений подменить placeholder файл на зловреда, который будет исполняться в фоне при запуске игры. Понятно, что в данном случае необходимо сделать зловред невидимым для большинства антивирусов, чтобы люди сразу не обратились в поддержку, но, вообще, такое проделать вполне реально, ибо поле для действий в виде системы обновлений игр есть, лишь заплати 100 долларов и сделай так, чтоб твою игру запускали, тут уже социальная инженерия поможет типа напихать в игру мемов, или красивых ачивок с буквами алфавита для людей, которые любят на витринах с ачивками делать надписи, только придумать надо и всё. 
Подставляет ли свои реальные данные при этом потенциальный хакер? Возможно, но наличие игр типа sos i pie sos, который представляют собой готовую стянутую из интернета игру, к которой автор не имеет никакого отношения, подсказывает, что для мошенников даже самого низшего пошиба не представляет затруднения пропихнуть фиктивные данные.

А, и ещё, чуть не забыл. Ряд игр на том же Unity, допустим, могут подтягивать актуальные локализации с гуглотаблиц, да и с любого другого места. Таким образом, можно сделать так, что игра попросту будет стягивать зловред с сервера хакера, как раньше стягивала локализации. Этот момент вообще не проработан.

Изменено 11 августа, 2019 пользователем 0wn3df1x

[Freeman665 6 653]

3 часа назад, SerGEAnt сказал:

Делаем эксплоит, пихаем его в игру типа “СЛАВА УКРАИНЕ”, публикуем ее в Steam за $100 — вот вам и физический доступ и делайте с ПК покупателей все, что хотите.

Произойди такое в стиме, покупатели такой вой подняли бы...

[Bkmz 1 981]

@0wn3df1x вы описали мир Стим игр настоящим миром безумного Макса. 

1 минуту назад, Freeman665 сказал:

Произойди такое в стиме, покупатели такой вой подняли бы...

Происходило ведь. И вой подняли пол года спустя и то быстро заглохло.

[Freeman665 6 653]

4 минуты назад, Bkmz сказал:

Происходило ведь. И вой подняли пол года спустя и то быстро заглохло.

когда осознали проблему, тогда и подняли. После этого были оперативно приняты меры по ее устранению.

[Bkmz 1 981]

2 минуты назад, Freeman665 сказал:

когда осознали проблему, тогда и подняли. После этого были оперативно приняты меры по ее устранению.

Только вой быстро стих. И ни кто не задавался вопросом а как вообще возможно что в Стим попал вредоносный продукт и было ли сделано хоть что то дабы это не повторилось?