Steam manteve falha de segurança grave por mais de 10 anos 06.06.18 15:39
Plataforma que concentra milhões de jogadores no PC, o Steam virou praticamente sinônimo de jogar games no computador. Exatamente devido à grande popularidade do sistema é que se torna bastante preocupante a revelação de que ele conviveu durante mais de 10 anos com uma falha grave que permitia a invasão da máquina de qualquer um de seus usuários.
Segundo o pesquisador de segurança Tom Court, da Contextis, qualquer hacker com o conhecimento adequado podia se aproveitar do bug para executar códigos remotos em outros computadores. A Valve só tomou uma atitude contra o problema em julho de 2017, quando dificultou sua exploração através do cliente de desktop do Steam — a falha só foi totalmente corrigia em abril deste ano.
Court afirma que o bug era bastante simples de explorar e acredita que a Valve não lidou com ele por uma razão simples: ela não acreditava que isso era necessário. “O código vulnerável provavelmente era muito velho”, explica o pesquisador de segurança. “Mas como ele estava funcionando de forma competente, os desenvolvedores provavelmente não viram razões para se aproximar dele ou atualizar seus scripts de construção”.
“A lição aqui é que, como um desenvolvedor, é importante incluir periodicamente códigos velhos e sistemas de construção em seus reviews para garantir que eles estão em conformidade com padrões de segurança modernos, mesmo que a funcionalidade do código não tenha sido mudada”, conclui Court. Clique aqui para conferir a explicação completa sobre o bug e a forma como ele poderia ter sido explorado.
Fonte
Voxel
Segundo o pesquisador de segurança Tom Court, da Contextis, qualquer hacker com o conhecimento adequado podia se aproveitar do bug para executar códigos remotos em outros computadores. A Valve só tomou uma atitude contra o problema em julho de 2017, quando dificultou sua exploração através do cliente de desktop do Steam — a falha só foi totalmente corrigia em abril deste ano.
Court afirma que o bug era bastante simples de explorar e acredita que a Valve não lidou com ele por uma razão simples: ela não acreditava que isso era necessário. “O código vulnerável provavelmente era muito velho”, explica o pesquisador de segurança. “Mas como ele estava funcionando de forma competente, os desenvolvedores provavelmente não viram razões para se aproximar dele ou atualizar seus scripts de construção”.
“A lição aqui é que, como um desenvolvedor, é importante incluir periodicamente códigos velhos e sistemas de construção em seus reviews para garantir que eles estão em conformidade com padrões de segurança modernos, mesmo que a funcionalidade do código não tenha sido mudada”, conclui Court. Clique aqui para conferir a explicação completa sobre o bug e a forma como ele poderia ter sido explorado.
Fonte
Voxel
