Home News Scoperta vulnerabilità che permette l’esecuzione di codice maligno attraverso giochi Steam

Scoperta vulnerabilità che permette l’esecuzione di codice maligno attraverso giochi Steam

da Alvise C.
Pubblicato: Aggiornato il: 0 commenti 2 minutes Leggi
A+A-
Reset

Justin Taft della One Up Security ha individuato e pubblicato alcuni dettagli circa una vulnerabilità scoperta nell’SDK Valve, usata nella piattaforma Steam. La vulnerabilità consiste in un Buffer Overflow dove viene appeso del codice maligno che può esser eseguito nella macchina oggetto di attacco.  

Scoperta%2Bvulnerabilit%25C3%25A0%2Bche%2Bpermette%2Bl%2527esecuzione%2Bdi%2Bcodice%2Bmaligno%2Battraverso%2Bgiochi%2BSteam

 Come ben sappiamo molti giochi supportano l’installazione di MOD o di mappe personalizzate, molto spesso create dalla community di appassionati del gioco: possono essere proprio queste il mezzo che può esser usato dall’attaccante per sfruttare la vulnerabilità scoperta, infatti il codice necessario per l’exploit può esser caricato all’interno della MOD o mappa stessa, venendo eseguito quindi in fase di aggiornamento.  

rat

Valve, una volta avvisata del problema da parte del ricercatore, è corsa ai ripari ed ha informato le software-house sviluppatrici di titoli nella piattaforma Steam, cosa che ha portato già al rilascio di aggiornamenti per giochi molto conosciuti come Counter StrikePortal 2Team Fortress 2 e Left 4 Dead 2; nel mentre ha rilasciato una patch per l’SDK, che dev’esser aggiornato da parte degli sviluppatori stessi di mod terze.  

Inoltre, il ricercatore consiglia di disabilitare l’aggiornamento automatico di componenti di terze parti, lanciando da console i seguenti comandi cl_allowdownload 0 and cl_downloadfilter all

Dettagli (e fonte per la GIF) di seguito:
One Up Security – Research – Remote Code Execution In Source Games (Jul 19, 2017)

Non perdere questi contenuti:

Lascia un commento

Angolo di Windows Logo

Punto di riferimento per il mondo Windows con articoli e guide letti ogni giorno, ci trovi anche nella MS Community con gli articoli WIKI del Microsoft MVP (dal 2011 al 2020) Alvise C.

 

Contact us: [email protected]

Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità.
Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001.
L’autore del blog non è responsabile del contenuto dei commenti ai post, nè del contenuto dei siti linkati.
Alcuni testi o immagini inseriti in questo blog sono tratti da internet e, pertanto, considerati di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d’autore, vogliate comunicarlo via email a [email protected] e saranno immediatamente rimossi.