Valves populära spelplattform Steam hade under 10 år en sårbarhet som lämnade samtliga 125 miljoner användare öpnna för attacker utifrån.

Den omåttligt populära plattformen Steam fick nyligen en uppdatering som bland annat åtgärdade ett specifikt säkerhetshål. Detta säkerhetshål lämnade under tio år samtliga Steam-användare öppna för så kallade Remote Code Execution (RCE)-attacker innan det äntligen upptäcktes och åtgärdades.

Skulle illasinnade ha utnyttjat säkerhetshålet hade de kunnat få möjlighet till att ta kontroll över Steam-användares datorer. I dagsläget har plattformen omkring 15 miljoner aktiva användare.

Säkerhetshålet upptäcktes av Tom Court som är en säkerhetsforskare hos Contextis. Court förklarar sårbarheten mer djupgående i ett blogginlägg och har även publicerat en video där han visar hur säkerhetshålet kan utnyttjas för en attack.

The bug was caused by the absence of a simple check to ensure that, for the first packet of a fragmented datagram, the specified packet length was less than or equal to the total datagram length. This seems like a simple oversight, given that the check was present for all subsequent packets carrying fragments of the datagram.

Without additional info-leaking bugs, heap corruptions on modern operating systems are notoriously difficult to control to the point of granting remote code execution. In this case, however, thanks to Steam’s custom memory allocator and (until last July) no ASLR on the steamclient.dll binary, this bug could have been used as the basis for a highly reliable exploit. – Tom Court

Valve har inte officiellt lämnat ett utlåtande angående säkerhetshålet. Däremot nämns Court i beskrivningen för uppdateringen till Steam-klienten som släpptes den 4 april 2018.

Steam bugg

Court ger Valve beröm för snabbt agerande. Court rapporterade säkerhetshålet till Valve den 20 februari. Kort därpå kom det en uppdatering till plattformens beta-klienter och sedan lanserades en stabil uppdatering den 22 mars. Denna är då del av uppdateringen som nådde samtliga användare den 4 april.

Lägsta pris på Prisjakt.se (Affiliate)

Subscribe
Notifiera vid
3 Comments
äldsta
senaste flest röster
Inline Feedbacks
View all comments
Peter
Peter
6 Årtal sedan

Har Steam 125 miljoner användare eller har de 15 miljoner? Viss skillnad…

Vincent
6 Årtal sedan
Reply to  Peter

125 miljoner konton, 15 miljoner aktiva idag. Sifforna är rätt och relevanta eftersom det handlar om en 10 års period

6 Årtal sedan
Reply to  Vincent

“I dagsläget har plattformen omkring 15 miljoner aktiva användare.”

Lite märkligt skrivet då Steams aktiva användare är långt fler. Vad det egentligen kanske ska stå är: “Plattformen har dagligen omkring 15 miljoner samtidiga användare.”.

Siffror från augusti 2017 visar att Steam hade 33 miljoner dagliga aktiva användare och 67 miljoner månatliga aktiva användare.