Классический форум-трекер
canvas not supported
Нас вместе: 4 079 334

Уязвимость в Steam может затронуть 96 млн пользователей Windows


Страницы:  1, 2, 3  След. 
 
RSS
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Поговорим -> Новости
Автор Сообщение
Implode Sch ®
RG Soft
Стаж: 8 лет 3 мес.
Сообщений: 3031
Ratio: 27,743
Поблагодарили: 128421
100%
Злоумышленники могут отключить межсетевой экран и антивирусное ПО, установить руткит и украсть личные данные пользователей.

Исследователь Василий Кравец обнаружил уязвимость повышения привилегий в клиенте Steam для Windows, затрагивающую более 96 млн пользователей игровой платформы. Эксплуатация уязвимости позволяет злоумышленникам с ограниченными правами использовать технику BaitAndSwitch для запуска исполняемых файлов с повышенными разрешениями NT AUTHORITY \ SYSTEM клиентской службы Steam.

Это позволяет потенциальным преступникам начать трехэтапную атаку, получив привилегии удаленного выполнения кода из-за уязвимости в Steam игре, приложении Windows или самой ОС. Впоследствии атакующий может повысить привилегии на скомпрометированном устройстве и запустить вредоносную полезную нагрузку с помощью разрешения SYSTEM.

По словам исследователя, это может привести к отключению межсетевого экрана и антивирусного ПО, установке руткита, сокрытию процесса-майнера и краже личных данных любого пользователя ПК

Кравец опубликовал два видеоролика, в которых демонстрирует методы эксплуатации уязвимости повышения привилегий в Steam для получения разрешений SYSTEM в любой системе Windows, использующей необновленную версию Steam.

YouTube YouTube

_________________
(VST VSTi) WIN10(1903)/x64
kalt12
Uploader 100+
Стаж: 6 лет 11 мес.
Сообщений: 3127
Ratio: 158,485
Раздал: 182,1 TB
100%
russia.gif
Цитата:
Злоумышленники могут
...Естественно могут! Сначала дыра находится, а уж потом затычка для неё. Пока заткнут, эва сколько воды утечёт. Всем Винда хороша, прямо ОС для всех, включая и злоумышленников. Вот почему то они себя в ней вольготно чувствуют, а разработчики то что же? Они словно каждый в своём углу что то очень нужное им ковыряют, а в целом общее детище у них какое то странноватое получается. Тут дыра, там заплата и так не первый год...
Kedmi
Стаж: 9 мес. 18 дней
Сообщений: 737
Ratio: 13,19
100%
israel.gif
Такие новости,будут всегда. Ничего не поделать

_________________
Неспособный выдержать плохое, не доживет, чтобы увидеть хорошее
mmsh.
 

Online
Стаж: 8 лет 8 мес.
Сообщений: 4071
Ratio: 57,426
8.4%
Откуда: IRID: 136700581
ussr.gif
вот потому я всегда считал, что компьютер - это не игрушки ))

_________________
JGPN: 201550000118776006
AnOcToJI
Стаж: 9 лет 7 мес.
Сообщений: 905
Ratio: 58,576
Раздал: 78,33 TB
Поблагодарили: 3283
100%
Откуда: со дна
krevedko.png
kalt12 писал(а): Перейти к сообщению
Цитата:
Злоумышленники могут
...Естественно могут! Сначала дыра находится, а уж потом затычка для неё. Пока заткнут, эва сколько воды утечёт. Всем Винда хороша, прямо ОС для всех, включая и злоумышленников. Вот почему то они себя в ней вольготно чувствуют, а разработчики то что же? Они словно каждый в своём углу что то очень нужное им ковыряют, а в целом общее детище у них какое то странноватое получается. Тут дыра, там заплата и так не первый год...

злоумышленники себя везде вольготно чувствуют, винда просто у каждой домохозяйки есть, прожжённые пингвиноводы не интересны в силу того, что выхлоп от них не такой большой как пользователей стекло пакетов)
makey161
Стаж: 9 лет 4 мес.
Сообщений: 119
Ratio: 6,942
Раздал: 1,931 TB
100%
Откуда: СПб
nnm-club.gif
Майкрософт сейчас с этим активно борется.
Они специально нанимают индейцев индусов, которые пишут нечитаемый простыми смертными код.
Помогает. Правда, только когда в том-же "Мелкомягком" один отдел пытается править код соседнего отдела. :огорчение:

А если серьезно, то просто новость про очередной эксплоит, коих - миллионы.
spider76
Стаж: 1 год 1 мес.
Сообщений: 59
Ratio: 5,179
100%
ussr.gif
Забыли дописать, что Valve «забанила» специалиста за то, что он нашел уязвимость в Steam. 21 числа данные уязвимости были закрыты.
vadik_one
Стаж: 10 лет
Сообщений: 17
Ratio: 9,445
12.83%
Откуда: ЛНР
ussr.gif
kalt12 писал(а): Перейти к сообщению

злоумышленники себя везде вольготно чувствуют, винда просто у каждой домохозяйки есть, прожжённые пингвиноводы не интересны в силу того, что выхлоп от них не такой большой как пользователей стекло пакетов)

Старая байка... В мире во много раз больше устройств на Android, чем на форточке, но зараженных и подверженных к уязвимости в тысячи раз меньше. Дело лишь в том, что форточка дырявей, чем прохудившийся дуршлаг.
PuKKen
Только чтение
Стаж: 8 лет 3 мес.
Сообщений: 2473
Ratio: 2,558
4.88%
Откуда: De-TROITSK
nepal.gif
makey161 писал(а): Перейти к сообщению
Майкрософт сейчас с этим активно борется.
Они специально нанимают индейцев индусов, которые пишут нечитаемый простыми смертными код.
О! В тему ща чё расскажу про "нечитаемый простыми смертными великий индусский код."

Сегодня по Евроньюс рассказал в интервью один европейский следователь, что они примерно поняли причину падений сразу двух Боингов этой Весной. Надеюсь помните... Причина ► жутко похганное программное обеспечение самолётов этой серии из-за чего оба самолёта руководимые автопилотом на основе П.О. спланировали в землю нахpен.

Вкратце. Боинг этой Зимой, стараясь экономить на всём, так как продажи самолётов из-за Аэробаса конкурента сильно падают, поувольняло сотни крутых программистов с зарплатой 70-80 долларов в час и наняло индейцев индусов согласных работать по минимальной ставке официально разрешённой в США - $8,90 в час.

А как работают индусы в программировании, вы помните по кривейшей Готике 3, которую так и не смогли исправить специально нанятые немецкие программисты, настока программный код применяемый индейцами изначально был крив.
И помните по Батману последнему, который при запуске в 14-ом вроде году, сразу пожирал 10 гигов ОЗУ, которых в те годы мало у кого стояло и выдавал на топовых видюхах 35 FPS, зато после патча сделанного уже американскими программерами, игра выдавала под 60 FPS и жрала в два раза меньше, но было поздно, игра провалилась в продажах из за кривого первоначалньного запуска с индейским кодом ( ͝° ͜ʖ͡°)

на АГ был лет 8 назад человек, работавший с индусскими компаниями и знает принцип их работы...
Ник - Undergrade.
У меня его пост ржачный в заметках Оперы тогда остался.
Вот:
mmsh.
 

Online
Стаж: 8 лет 8 мес.
Сообщений: 4071
Ratio: 57,426
8.4%
Откуда: IRID: 136700581
ussr.gif
PuKKen писал(а): Перейти к сообщению
АГ

а что это такое , если не секрет?

_________________
JGPN: 201550000118776006
PuKKen
Только чтение
Стаж: 8 лет 3 мес.
Сообщений: 2473
Ratio: 2,558
4.88%
Откуда: De-TROITSK
nepal.gif
А это сайт такой с самой большой Базой по играм был тада, старый, года с 2000-ого где-то, давно уже накрылся медным тазом ag.ru - многие его расшифровывали как AbsoluteGavno.ru -настока идиотские модераторы там были и сайт сам был написан на похганом старейшем PHP движке 98 ого года который до конца распада сайта так никто и не исправил и он у всех все 15 лет пока был сайт, жутко тормозил.
mmsh.
 

Online
Стаж: 8 лет 8 мес.
Сообщений: 4071
Ratio: 57,426
8.4%
Откуда: IRID: 136700581
ussr.gif
PuKKen
понял спасибо
вот что значит не играться

_________________
JGPN: 201550000118776006
Alexey70V
Стаж: 5 лет
Сообщений: 165
Ratio: 29,575
4.04%
kazakhstan.gif
Игры надо покупать не в цифре а в коробке. И не устанавливать в систему всякие посторонние программы.
DartSandy

Online
Стаж: 5 лет 1 мес.
Сообщений: 1179
Ratio: 748,54
100%
ussr.gif
Alexey70V писал(а): Перейти к сообщению
Игры надо покупать не в цифре а в коробке. И не устанавливать в систему всякие посторонние программы.

Омг. А что изменит наличие коробки? Тут доверяли надежности клиента Стим. Ты бы доверял надежности содержимого коробки. Я ничего не пропустил?
Можно весь список посторонних программ?
snh
Стаж: 8 лет 9 мес.
Сообщений: 157
Ratio: 0,912
100%
Откуда: Казахстан
kazakhstan.gif
Программеры из индии это те еще ребята.
Ну представьте как они работают - 5-6 этажное здание, компании аутсорсера, которая берет по всему миру заказы.
Сидят чувачки рядами, как в магазине стелажи: рабочее место 80см в ширину, не более. Там комп стоит и номер присвоен. Все.
Чувак приходит - лопатит код весь день, там же что-то кушает и уходит поздно.
У него есть почтовый ящик, привязанный к рабочему месту.

Когда приходит начальник - они его облизывают как могут. Начальник там это Бох. Он Самый великий человек для программиста из индии.

Такой программер кормит всю свою семью и родственников в деревне. Для них увольнение - равносильно смерти.
Когда они к нам приезжают, то дико удивляются, что наши люди увольняются ЧТОБЫ НАЙТИ ДРУГУЮ РАБОТУ.

Может такой ходить в самой дешевой одежде в тапочках осенью на босу ногу.
Спрашиваешь такого - купи обувь и куртку зимнюю. Он удивляется искренне, зачем - так же тоже нормально?!

Ну и код у них такой же. Задача стоит - нужно сделать любой ценой. Налепят  , работает в тестовой среде да и ладно. Дальше не их проблема. Другого такого-же специалиста.

Самый простой пример - null и 0 у них это одно и тоже.
Показать сообщения:   
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Поговорим -> Новости Часовой пояс: GMT + 3
Страницы:  1, 2, 3  След.
Страница 1 из 3