据外媒报道,独立研究员Vasily Kravets在Steam游戏平台上发现了一处漏洞。Kravets表示,所有Windows版本的Steam客户端都有这种漏洞,该漏洞允许黑客将受害者电脑上的第三方程序升至最高权限,进而操控受害者的客户端。
据了解,Kravets偶然发现Steam客户端中的HKLM\SOFTWARE\Wow6432Node\Valve\Steam注册表子键继承了其主键的控制权。好奇之下,是他做了一个测试,以检测一个名为HKLM\Software\Wow6432Node\Valve\Steam\Apps注册表主键是否可以将其权限传给它的子键。结果表明,通过使用符号链接攻击,子键获得了该注册表键的访问权限。这意味这黑客可以通过使用符号链接攻击将第三方程序升级到最高管理权限。
鉴于Steam在全球拥有超过10亿注册用户以及9000万活跃用户,此类漏洞可能会造成极大影响。在Kravets公布了该漏洞的具体细节后,Steam已经更新了其客户端。然而,Kravets称这个安全补丁并未起作用。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
