Steam 做为目前 PC 上最大的数位游戏平台,几乎可说是每个玩家都有在电脑上安装 Steam 应用程序。然而现在资安研究人员却爆料 Steam 实际上存在一个非常重大的漏洞,可以让任意用户借此取得电脑的最高系统权限,并使用所有电脑里的内容。
来自俄罗斯的资安研究人员 Vasily Kravets 表示,Steam 客户端里用来让玩家游玩 Steam 游戏的 Steam Client Service 存在着一项漏洞。因为 Steam Client Service 可以被任意装置的使用者停用或启用,且当他们这么做时,还能够获得和该程式相关的 Windows 登录子键,这些键则可以编写成符号连结用来与装置上的其他位置进行连结。
但这代表什么呢?这意味着使用者可以将 Steam 相关的符号连结连结至拥有管理员权限的登录键,重新启动电脑之后,就可以获得能控制整个系统的命令提示字符。也就是说只要你的电脑有安装 Steam,其他使用者就可能有办法借此来获得你电脑的最高管理权限。
不过当 Kravets 把这项问题回报给 Valve 之后,该公司两次驳回了他的报告,认为他找出的这个漏洞并不具有一定的威胁性。最后他决定将这个漏洞公开,Valve 随后也针对 Steam 客户端发布了修补程式,但 Kravets 仍然认为使用者可以绕过修补程式来使用此漏洞。
且 Kravets 还点出了一个最大的问题,也就是为什么仅仅是在 Steam 上运行一款游戏,Steam 却要给予它如此高的权限?
想获得第一手电玩情报?快来追踪电玩迷粉丝专页!
