Steam 做為目前 PC 上最大的數位遊戲平台,幾乎可說是每個玩家都有在電腦上安裝 Steam 應用程式。然而現在資安研究人員卻爆料 Steam 實際上存在一個非常重大的漏洞,可以讓任意用戶藉此取得電腦的最高系統權限,並使用所有電腦裡的內容。
來自俄羅斯的資安研究人員 Vasily Kravets 表示,Steam 客戶端裡用來讓玩家遊玩 Steam 遊戲的 Steam Client Service 存在著一項漏洞。因為 Steam Client Service 可以被任意裝置的使用者停用或啟用,且當他們這麼做時,還能夠獲得和該程式相關的 Windows 登錄子鍵,這些鍵則可以編寫成符號連結用來與裝置上的其他位置進行連結。
但這代表什麼呢?這意味著使用者可以將 Steam 相關的符號連結連結至擁有管理員權限的登錄鍵,重新啟動電腦之後,就可以獲得能控制整個系統的命令提示字符。也就是說只要你的電腦有安裝 Steam,其他使用者就可能有辦法藉此來獲得你電腦的最高管理權限。
不過當 Kravets 把這項問題回報給 Valve 之後,該公司兩次駁回了他的報告,認為他找出的這個漏洞並不具有一定的威脅性。最後他決定將這個漏洞公開,Valve 隨後也針對 Steam 客戶端發布了修補程式,但 Kravets 仍然認為使用者可以繞過修補程式來使用此漏洞。
且 Kravets 還點出了一個最大的問題,也就是為什麼僅僅是在 Steam 上運行一款遊戲,Steam 卻要給予它如此高的權限?
想獲得第一手電玩情報?快來追蹤電玩迷粉絲專頁!
