Меню сайта
VIP-БЛОК
Купить ссылку здесь за руб.
Поставить к себе на сайт
ТЕГИ
игровой легион gta Игры For Honor PS4 Blizzard For Honor обои Counter-Strike Titanfall 2 Обновления Обои Ubisoft DOTA 2 Far Cry World of Tanks xbox one Middle-earth: Shadow of War Ведьмак PlayStation 4 геральт Mass Effect: Andromeda League of Legends STALKER The-Witcher Mass Effect sony Fun Mode Картинки Quake Champions The Witcher 3 GOG Electronic Arts Bethesda Softworks Valve World of Warcraft киберспорт Overwatch starcraft CS:GO Heroes of the Storm DIABLO 3 God of War Геймеры Destiny 2 Bungie sega Mirage: Arcane Warfare Bethesda FIFA 17 PlayStation Humble Bundle Nintendo Battlefield EA BioWare Пк CD Projekt RED Fallout 4 Need For Speed: Payback Square Enix Marvel Kingdom Come: Deliverance Call of Duty: WWII Anthem assassins Creed Игромания Assassin’s Creed Naughty Dog Capcom Google Play app store Cyberpunk 2077 GTA V Take-Two Pokemon Go FIFA 18 Rocket League Playerunknown's Battlegrounds Android Assassin's Creed PS3 Half-Life Nintendo Switch Hearthstone microsoft Xbox steam mmorpg Frostpunk youtube Riot Games Total War Bluehole PC Call of Duty Activision шутер игра Far Cry 5 RPG
МЫ В VK
СТАТИСТИКА
Траст igrovoilegoin.my1.ru Настоящий ПР igrovoilegoin.my1.ru
Besucherzahler
счетчик посещений
Счетчик тИЦ и PR
Онлайн всего: 24
Гостей: 24
Пользователей: 0
Вторник, 03.12.2024, 20:03
Приветствую Вас Гость
Главная » 2017 » Июль » 22 » Valve устранила баг, позволявший устанавливать малварь посредством игр Steam.
01:53
Valve устранила баг, позволявший устанавливать малварь посредством игр Steam.

Специалист компании One Up Security Джастин Тафт (Justin Taft) обнаружил занимательную уязвимость в составе Valve Source SDK. Исследователь пишет, что уязвимость в движке Source затрагивала такие популярные игры, как Counter Strike: Global Offensive, Team Fortress 2, Left 4 dead 2, Potral 2. 

Дело в том, что игры, работающие на движке Source, используют Source SDK, чтобы сторонние компании и независимые разработчики могли создавать собственные кастомные моды. К тому же файлы карт для движка Source позволяют разработчикам добавлять кастомный контент (текстуры, скины, модели трупов), который подгружается вместе с картой. 

Корень проблемы лежал в обычном переполнении буфера (buffer overflow), однако через эту уязвимость можно было добиться и выполнения произвольного кода на клиентской или серверной стороне. В качестве примера эксплуатации бага Тафт приводит следующий кейс: если создать кастомую модель трупа, которая будет загружаться после смерти игрового персонажа, к этой модели можно привязать загрузку произвольного вредоносного кода. Как видно на гифке ниже, смерть игрока в TF2 влечет за собой выполнение вредоносных инструкций.

Исследователь сообщает, что разработчики Valve устранили проблему еще в июне 2017 года, и разработчиков модов попросили обновить Steam Source SDK до актуальной версии, установив этот патч. 

Пока Тафт не обнародовал proof-of-concept эксплоита, так как он хочет дать разработчикам больше времени на установку исправления. Тем не менее, через несколько недель эксплоит будет опубликован здесь.

Исследователь советует разработчикам игр и модов включать ASLR защиту бинарников, и размышляет, что, возможно, оптимальным решением вообще был бы запуск каждой Steam игры в отдельной, изолированной песочнице. Также Тафт советует временно отключить автоматическую загрузку сторонних игровых компонентов, по крайней мере, для новых и недоверенных игровых серверов.

Исток:
https://xakep.ru

Ссылка на оригинал: https://xakep.ru/2017/07/21/valve-source-bug/

Просмотров: 411 | Добавил: DANILA | Теги: ASLR, left 4 dead 2, TF2.Counter Strike: Global Offensiv, Steam.Valve, Potral 2, Team Fortress 2 | Рейтинг: 0.0/0
Всего комментариев: 0
avatar
Вход на сайт
NEWS-ПОРТАЛА
FREE BLOG
Купить ссылку здесь за руб.
Поставить к себе на сайт
ТРЕЙЛЕРЫ
ОПРОС
ОЦЕНКА ПОРТАЛА
Всего ответов: 29
АРХИВ ЗАПИСЕЙ