Steam 爆出重大漏洞 可讓其他用戶取得最高系統權限

Steam 做為目前 PC 上最大的數位遊戲平台,幾乎可說是每個玩家都有在電腦上安裝 Steam 應用程式。然而現在資安研究人員卻爆料 Steam 實際上存在一個非常重大的漏洞,可以讓任意用戶藉此取得電腦的最高系統權限,並使用所有電腦裡的內容。

來自俄羅斯的資安研究人員 Vasily Kravets 表示,Steam 客戶端裡用來讓玩家遊玩 Steam 遊戲的 Steam Client Service 存在著一項漏洞。因為 Steam Client Service 可以被任意裝置的使用者停用或啟用,且當他們這麼做時,還能夠獲得和該程式相關的 Windows 登錄子鍵,這些鍵則可以編寫成符號連結用來與裝置上的其他位置進行連結。

但這代表什麼呢?這意味著使用者可以將 Steam 相關的符號連結連結至擁有管理員權限的登錄鍵,重新啟動電腦之後,就可以獲得能控制整個系統的命令提示字符。也就是說只要你的電腦有安裝 Steam,其他使用者就可能有辦法藉此來獲得你電腦的最高管理權限。

不過當 Kravets 把這項問題回報給 Valve 之後,該公司兩次駁回了他的報告,認為他找出的這個漏洞並不具有一定的威脅性。最後他決定將這個漏洞公開,Valve 隨後也針對 Steam 客戶端發布了修補程式,但 Kravets 仍然認為使用者可以繞過修補程式來使用此漏洞。

且 Kravets 還點出了一個最大的問題,也就是為什麼僅僅是在 Steam 上運行一款遊戲,Steam 卻要給予它如此高的權限?

想獲得第一手電玩情報?快來追蹤電玩迷粉絲專頁!

活在虛擬世界中的現實世界人物,滾開啦!現實世界!