Уязвимость в Steam позволяла заражать компьютеры через игры
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Уязвимость в Steam позволяла заражать компьютеры через игры

Александр Панасенко 21 Июля 2017 - 12:40
...
Уязвимость в Steam позволяла заражать компьютеры через игры

Специалист компании One Up Security Джастин Тафт (Justin Taft) обнаружил занимательную уязвимость в составе Valve Source SDK. Исследователь пишет, что уязвимость в движке Source затрагивала такие популярные игры, как Counter Strike: Global Offensive, Team Fortress 2, Left 4 dead 2, Potral 2.

Дело в том, что игры, работающие на движке Source, используют Source SDK, чтобы сторонние компании и независимые разработчики могли создавать собственные кастомные моды. К тому же файлы карт для движка Source позволяют разработчикам добавлять кастомный контент (текстуры, скины, модели трупов), который подгружается вместе с картой.

Корень проблемы лежал в обычном переполнении буфера (buffer overflow), однако через эту уязвимость можно было добиться и выполнения произвольного кода на клиентской или серверной стороне. В качестве примера эксплуатации бага Тафт приводит следующий кейс: если создать кастомую модель трупа, которая будет загружаться после смерти игрового персонажа, к этой модели можно привязать загрузку произвольного вредоносного кода. Как видно на гифке ниже, смерть игрока в TF2 влечет за собой выполнение вредоносных инструкций, пишет xakep.ru.

Исследователь сообщает, что разработчики Valve устранили проблему еще в июне 2017 года, и разработчиков модов попросили обновить Steam Source SDK до актуальной версии, установив этот патч.

Пока Тафт не обнародовал proof-of-concept эксплоита, так как он хочет дать разработчикам больше времени на установку исправления. Тем не менее, через несколько недель эксплоит будет опубликован здесь.

«Видеоигры – обычное дело в комнатах отдыха для сотрудников [в различных компаниях], а также у них дома. Эксплуатация этой уязвимости может использоваться для осуществления направленных атак, проникновения на изолированные от сети компьютеры и в приватные сети. Снизить риски очень просто: игры не должны устанавливаться на рабочие устройства. Игровые машины должны находиться в недоверенной сети, а рабочие устройства не должны подключаться к недоверенным сетям», — пишет Тафт.

Исследователь советует разработчикам игр и модов включать ASLR защиту бинарников, и размышляет, что, возможно, оптимальным решением вообще был бы запуск каждой Steam игры в отдельной, изолированной песочнице. Также Тафт советует временно отключить автоматическую загрузку сторонних игровых компонентов, по крайней мере, для новых и недоверенных игровых серверов.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Молодой уральский медик попал под суд за поиск экстремистских материалов
Яков Шпунт 07 Ноября 2025 - 14:50
Соответствие законодательству РФ Домашние пользователиГосударство
Молодой уральский медик попал под суд за поиск экстремистских материалов

В Свердловской области суд рассматривает дело молодого медика, обвиняемого в умышленном поиске экстремистских материалов (ст. 13.53 КоАП РФ). Это первый известный случай попытки привлечь к ответственности по новой статье, введённой летом 2025 года.

Согласно законодательству, штраф до 5 тысяч рублей грозит тем, кто осуществляет «поиск заведомо экстремистских материалов и получение доступа к ним, в том числе с использованием программно-аппаратных средств для обхода ограничений доступа к информационным ресурсам».

Как сообщают местные СМИ со ссылкой на адвоката обвиняемого Сергея Барсукова, 20-летний медик столкнулся с запрещённой информацией случайно — 24 сентября, по дороге на работу. По словам защитника, молодой человек лишь наткнулся на сведения о ряде организаций, признанных в России экстремистскими.

Однако, как уточнили источники РИА Новости в оперативных службах, фигурант состоял в неонацистских интернет-сообществах. Его поисковые запросы, по данным следствия, касались деятельности украинских националистических формирований, признанных в России террористическими и запрещёнными.

В тот же день молодого человека вызвали в отдел ФСБ, а 8 октября на него был составлен протокол об административном правонарушении по статье 13.53 КоАП РФ. Адвокат Барсуков предполагает, что информацию в спецслужбы мог передать мобильный оператор.

Первое судебное заседание прошло в конце октября. Защита ходатайствовала о вызове свидетелей.

«Я считаю, что на основании представленных материалов нельзя строить обвинение. До суда я направил жалобу в УФСБ по Свердловской области с просьбой провести служебную проверку в отношении сотрудников отдела по Каменску-Уральскому — на предмет оказания психологического давления на моего подзащитного. Аналогичное обращение направлено в Главное управление МВД России по региону», — заявил адвокат Сергей Барсуков.

Второе заседание состоялось 6 ноября. Свидетели, вызванные в суд, не явились. В итоге суд не стал выносить решение и вернул материалы дела на доработку.

«Сегодня я обратил внимание суда на то, что представленные материалы являются „сырыми“: в них отсутствуют доказательства вины моего подзащитного. Суд с доводами согласился и направил дело правоохранителям для устранения недостатков. Будут ли они устранены — сомневаюсь, поскольку мой подзащитный невиновен», — прокомментировал итоги заседания Сергей Барсуков.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Microsoft отрицает связь обновления Windows 11 с поломкой SSD и HDD
Новость
Microsoft отрицает связь обновления Windows 11 с поломкой SS...
ФСТЭК России готовит стандарт безопасной разработки систем ИИ
Новость
ФСТЭК России готовит стандарт безопасной разработки систем И...
Российские вендоры создали решение для надёжной виртуальной инфраструктуры
Новость
Российские вендоры создали решение для надёжной виртуальной...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.