La vulnérabilité Steam expose les utilisateurs au piratage depuis plus de 10 ans

Un chercheur en sécurité a détaillé une vulnérabilité sérieuse dans le client de jeu Steam qui exposait les utilisateurs à l’exécution de code à distance depuis plus de 10 ans, mais la bonne nouvelle est que Steam a résolu le problème.

Décrite mercredi par Tom Court de Context Information Security Ltd., cette vulnérabilité est une "corruption de tas dans la bibliothèque client Steam". Une corruption de tas se produit lorsqu’un programme endommage la vue de l’allocateur, un tas étant une zone de mémoire pré-conservée qu’un programme peut utiliser pour stocker des données.

Dans ce cas, le problème est survenu dans le domaine du code qui a géré le réassemblage à partir des paquets UDP ou User Datagram Protocol reçus. Le client Steam manquait d’une vérification pour s’assurer que le premier paquet de données reçu était inférieur ou égal à ce qu’il aurait dû être. Sans aller plus loin dans tous les détails techniques, le résultat net de la vulnérabilité est que cela pourrait permettre à un attaquant de prendre le contrôle d’un ordinateur ciblé utilisant Steam.

"C’était un bug très simple, rendu relativement simple à exploiter en raison d’un manque de protections d’exploitation modernes", a déclaré Court.

La Cour a informé Valve Corp., les propriétaires de Steam, de la vulnérabilité du 20 février et la société a publié un correctif dans le cadre d’une version bêta du client de jeu 12 heures plus tard. Le correctif a été transmis à tous les utilisateurs via une mise à jour le 22 mars.

Bien qu’il n’y ait aucune preuve que la vulnérabilité ait jamais été exploitée, la Cour a soutenu que l’affaire met en évidence la nécessité pour les entreprises d’examiner un code plus ancien.

« La leçon à retenir ici est qu’en tant que développeur, il est important d’inclure périodiquement des codes vieillissants et des systèmes de construction dans vos évaluations pour s’assurer qu’ils sont conformes aux normes de sécurité modernes, même si la fonctionnalité du code reste inchangée ». "Le fait qu’un tel bug avec des conséquences si graves ait existé dans une plate-forme de logiciels aussi populaire pendant tant d’années peut surprendre en 2018 et devrait encourager tous les chercheurs sur la vulnérabilité à trouver et rapporter plus d’entre eux !"

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 30 |

Actu en image