HWSW: Egymást érik a Steam biztonsági rései

  • Írta: fojesz
  • 2016. április 4.
  • Hír
Link másolása
Komoly Steam-sebezhetőségekről számolt be egy 16 éves brit tinédzser, néhány napon belül mindjárt kettőről. A Valve hónapokig tartó győzködés után csak azok nyilvánosságra kerülése után foltozta be a hibákat - írja a HWSW.

Kevesebb mint egy héten belül két komoly sebezhetőséget is felfedezett a Steam rendszerében egy brit tinédzser - a 16 éves Ruby Nealon szerint szinte biztosan akadnak további rések is a Valve online videojátékboltjának pajzsán.

A Nealon által gyors egymásutánban publikált biztonsági hibák első példánya egy HTML sebezhetőségre épült, és egy lényegében tetszőleges játék feltöltését tette lehetővé az online felületre. Noha kihasználásához egy Steamworks fejlesztői fiókra is szükség volt, azt ugyancsak egy biztonsági rést kihasználva szerezte meg - mondta el az Ars Technicának. Nealonnek ezután a Steamworks backenden egy hamis munkamenet-azonosítóval, illetve a háttérrendszer "ReleaseGame" függvényét kihasználva sikerült feltöltenie a lényegében egy képből álló "Watch paint dry" játékot, anélkül, hogy azt a Valve-nál bárki ellenőrizte vagy akár csak észrevette volna.

A Valve aztán nem is kapkodta el a javítást, a történet fejleményeiről a HWSW-n olvashatsz!

8.
8.
tetudod
tetudod
2016. április 5. 15:38
válasz erre
#1: A html nem megjeleníti a tartalmat, hanem megjelöli azt. A megjelenítést a böngésző végzi. Elolvassa hogy mit kellene tennie, (egyezményes jelölésrendszerről van szó, szóval akkor lesz szabványos böngésző, ha megfelelően értelmezi a jelöléseket) majd megjeleníti a tartalmat.
Manapság viszont szokás szélesebb értelmezési körben beszélni róla. A html5 pl nem csak a jelölőnyelvet, hanem egy sor technológia kombinációját jelöli. Ebben a kontextusban pl lehet helyes a kifejezés, hogy "html sebezhetőség"....
7.
7.
Ooorky
Ooorky
2016. április 5. 07:02, mobilról küldve
válasz erre
Múltkor én is feltörtem, majd leformáztam Gabe notebook-ját egy gif sebezhetőséget kihasználva.
6.
6.
Extol
Extol
2016. április 5. 06:58
válasz erre
Nagyon ciki a Valve hozzáállása a játékokhoz, ha egy programot félig készítenek el és játszhatatlan, a kutyát nem érdekli ha nem működnek és nincs évek óta customer support. Már 3 éve levelezek a fejlesztőkkel egy játékkal kapcsolatban. Csak dőljön a zseton, az számít nekik! Fél hete megvettem a leárazott Kung-Fu pandát. Kontroller nélkül nem indul el, senkit nem izgatott!
5.
5.
br1Koo
br1Koo
2016. április 5. 00:33
válasz erre
#4: Persze, de szerintem egy rendszer sem lehet tökéletes. Ami több részből, folyamatból tevődik össze mindig sebezhető marad.
4.
4.
markoci555
markoci555
2016. április 4. 20:58
válasz erre
Nagyon el lehetnek kényelmesedve, ha ilyen szinten fordulnak elő a hibák. Ekkora vállalatnál az elsők közt kellene hogy legyen a biztonság.
3.
3.
dcba
dcba
2016. április 4. 20:31, mobilról küldve
válasz erre
Mindig nyugtalanito amikor kedvenc kis online store-ommal baj van.
2.
2.
mestermagyar
mestermagyar
2016. április 4. 19:04
válasz erre
#1: Lehet hogy PHP-re gondoltak csak ezek puszipajtások és kéz a kézben járnak, nomeg a mysql-el. Közös néven LAMP (linux apache mysql php) szerver néven fut a nagyközönség előtt.
1.
1.
Lorem Ipsum
Lorem Ipsum
2016. április 4. 18:41
válasz erre
HTML sebezhetőség? Az meg milyen? Még nem is hallottam hasonlóról, a HTML egy leíró nyelv, ami csak megjeleníti a tartalmat, adatbázisba írni nem lehet vele. Vagy én tudok valami kurva rosszul?
Hozzászólás írásához be kell jelentkezned!
Ha nem vagy még tag, regisztrálj! 2 perc az egész.
Egy kis türelmet kérünk...