Steam obsahoval kritickou chybu, které si nikdo několik let vůbec nevšiml

S používaním služby Steam sa stretol hádam každý, kto si zvykne z času na čas spíjemniť voľné chvíle hraním videohier. Služba ponúkajúca milióny herných titulov, či už na PC alebo Mac, však okrem hier disponovala aj závažnou chybou v systéme. Klient Steam v sebe ukrýval závažnú chybu, na ktorú upozornil bezpečnostný špecialista Tom Court. Prostredníctvom tejto medzery, ktorá je nazývaná „remote code execution“ bolo možné cez klienta služby Steam na diaľku hacknúť PC hráčov a ich kontá. Chybu však zrejme neobjavil nikto,  okrem spomínaného špecialistu, ktorý ju nahlásil priamo spoločnosti Valve. Šokujúce však je, že tento problém sa v klientovi nachádzal až 10 rokov.

Jadrom tohoto problému bola chyba, ktorá umožňovala nabúrať sa na diaľku k iným hráčom prostredníctvom klientskej knižnice služby Steam. Problém bol identifikovaný v oblasti kódu, ktorý  sa zaoberal rozdelením fragmentov datagramu z viacerých prijatých paketov UDP (používateľský datagramový protokol).

Steam klient komunikuje pomocou vlastného protokolu – „Steam protocol“ – ktorý je zasadený nad UDP. Protokol pracuje s dvoma oblasťami, ktoré sú pre tento problém relevantné. To zahŕňa dĺžku paketu a celkovú zostavenú dĺžku datagramu. Chyba bola spôsobená absenciou jednoduchej kontroly, ktorá má zabezpečovať, že pre prvý paket fragmentovaného datagramu má disponovať menšou alebo rovnakou dĺžkou celkového datagramu.

Napriek tomu, že sa chyba v systéme nachádzala veľmi dlhú dobu, podľa informácii sa ju nikomu nepodarilo zneužiť. Systém je maximálne náročny na údržbu a kontrolu, čo sem tam vyústi v podobnú nepríjemnosť. Počas dlhých rokov fungovania Steamu, sa Valve obdobné problémy snažilo riešiť v čo najrýchlejšom čase, aby sa predišlo zbytočným komplikáciám spojeným s funkčnosťou serverov. Hráčske kontá a knižnice však našťastie neboli hacknuté a problém bol po nahlásení okamžite vyriešený.

Steam

| | Zdroj
1
Leitz

Diskuze

Napsat komentář

Zobrazit více

Zobrazit celou diskuzi
Přispět

Bazar

Fórum

  • Poslední příspěvky
    Odpovědi
    Zobrazení
    Poslední příspěvek

Leitz