Steam obsahoval kritickou chybu, které si nikdo několik let vůbec nevšiml

S používaním služby Steam sa stretol hádam každý, kto si zvykne z času na čas spíjemniť voľné chvíle hraním videohier. Služba ponúkajúca milióny herných titulov, či už na PC alebo Mac, však okrem hier disponovala aj závažnou chybou v systéme. Klient Steam v sebe ukrýval závažnú chybu, na ktorú upozornil bezpečnostný špecialista Tom Court. Prostredníctvom tejto medzery, ktorá je nazývaná „remote code execution“ bolo možné cez klienta služby Steam na diaľku hacknúť PC hráčov a ich kontá. Chybu však zrejme neobjavil nikto,  okrem spomínaného špecialistu, ktorý ju nahlásil priamo spoločnosti Valve. Šokujúce však je, že tento problém sa v klientovi nachádzal až 10 rokov.

Jadrom tohoto problému bola chyba, ktorá umožňovala nabúrať sa na diaľku k iným hráčom prostredníctvom klientskej knižnice služby Steam. Problém bol identifikovaný v oblasti kódu, ktorý  sa zaoberal rozdelením fragmentov datagramu z viacerých prijatých paketov UDP (používateľský datagramový protokol).

Steam klient komunikuje pomocou vlastného protokolu – „Steam protocol“ – ktorý je zasadený nad UDP. Protokol pracuje s dvoma oblasťami, ktoré sú pre tento problém relevantné. To zahŕňa dĺžku paketu a celkovú zostavenú dĺžku datagramu. Chyba bola spôsobená absenciou jednoduchej kontroly, ktorá má zabezpečovať, že pre prvý paket fragmentovaného datagramu má disponovať menšou alebo rovnakou dĺžkou celkového datagramu.

Napriek tomu, že sa chyba v systéme nachádzala veľmi dlhú dobu, podľa informácii sa ju nikomu nepodarilo zneužiť. Systém je maximálne náročny na údržbu a kontrolu, čo sem tam vyústi v podobnú nepríjemnosť. Počas dlhých rokov fungovania Steamu, sa Valve obdobné problémy snažilo riešiť v čo najrýchlejšom čase, aby sa predišlo zbytočným komplikáciám spojeným s funkčnosťou serverov. Hráčske kontá a knižnice však našťastie neboli hacknuté a problém bol po nahlásení okamžite vyriešený.

Steam

| | Zdroj
1
Leitz

Diskuze

Napsat komentář

Zobrazit více

Zobrazit celou diskuzi
Přispět

Bazar

Fórum

  • Poslední příspěvky
    Odpovědi
    Zobrazení
    Poslední příspěvek

Další články

Steam
Steam se již brzy dočká velkého vylepšení, které ocení především herní vývojáři
h2x1_smartdevice_supermariorun
Jablíčkáři Super Maria milují. Většina příjmů Nintenda z této hry jde právě od nich
Gmail third-party accounts
Google si nedá pokoj. Partnerským společnostem umožňuje i nadále číst obsah vašich mailů
Light-fb
Zdají se vám 3 objektivy moc? Tento smartphone by jich měl nabídnout rovnou 9
harry potter fb
Harry Potter: Hogwarts Mystery je i přes kritiku hráčů mašina na peníze
eSports
Klasický sport je passé? Olympijský program možná již brzy obohatí počítačové hry
surface 01
Microsoft chystá revoluci. Vyvíjí produkt, kterým by rád zastínil úspěšnou řadu Surface
roboti disney
Vyfouknou v budoucnu roboti práci filmovým kaskadérům?
Tesla Semi
Podívejte se, jak to vypadá uvnitř elektrického tahače Tesla Semi
kempy fb
Najděte pomocí této aplikace kemp pro vaší letní dovolenou snadno a rychle
zbierka turistickÈ zn·mky plaketa
Sbíráte turistické známky? Pak by neměla tato aplikace ve vašem iPhonu chybět
German Spring Case fb
Tento kryt dokáže detekovat pád iPhonu a včas přístroj ochránit
xbox-one-x-1-of-1-2
Ideální dárek za vysvědčení pro 15 z vás: Nový Xbox One X za bezkonkurenční cenu
Drony
Miniaturní drony se již brzy dočkají vylepšení, které je posunou na zcela novou úroveň
pixel 3 xl
Proč by úspěch iPhonu X Plus velmi potěšil i zákazníky čekající na Google Pixel 3
Google
Tvorba 3D objektů z klasických 2D obrázků? Pro umělou inteligenci Googlu žádný problém
alexa
Umělá asistentka Alexa od Amazonu má prý schopnost, ze které běhá mráz po zádech
Windows 95 Mobile fb
Takto by vypadal legendární Windows 95 jakožto mobilní operační systém pro smartphone
Leitz