Steam客戶端被曝嚴重安全漏洞 Beta版已修複

　　據Arstechnica報導，在8月7日，忍無可忍的安全研究員Vasily Kravets選擇公布他發現的一個0day漏洞，而且這個漏洞還是存在於那個與許多玩家緊密相關的：Steam Windows客戶端上。這一漏洞可以讓任何“用戶”通過簡單的代碼獲取LOCALSYSTEM權限然後為所欲為。

　　這一漏洞基於“Steam Client Service”，既使是一些無權限“用戶”也可以啟動或停止這一服務。這樣就帶來一個問題，這一服務會自動批準一些注冊表改動。如果被惡意使用的話，這些鍵有可能通過Symlink鏈接到其他服務項之下，讓用戶可以“借用”管理員權限下自由運行/停止一些自己想運行的exe文件，甚至可以讓它們在Windows Installer Service（msiserver）下運行。

　　外媒按照他提供的方法在虛擬機中使用無權限“用戶”成功在“ C:WindowsSystem32”建立了一個文件，據稱，整個過程中沒有彈出Windows User Account Control（UAC），並且隻用了數分鐘就完成了，甚至只需要Steam客戶端，連遊戲都沒有安裝。

　　然而發現者Vasily通過漏洞眾測公司HackerOne反饋這一漏洞後，所得到的回復卻是“超出適用範圍”，Valve認為“這種攻擊需要在用戶的本地文件系統的任意位置放置文件的能力”。但經過外媒測試也可以發現，借助Symlink也可以實現這一工作，而發現者Vasily自然也不同意這種說法。

　　因此他和HackerOne的工作人員進行了討論，另一位工作人員在確認完這一報告後，最終向Valve反饋了這一問題。但沒過幾周，他從第三位HackerOne員工那又收到了“拒絕”的結果。他在原有的理由中又追加了一條“攻擊需要物理接觸用戶設備的能力”。

　　不過第二條原因對於一個遊戲平台而言，就更不成問題了。既使對方沒法親自給你的電腦裝上他的東西，但是心懷惡意的“開發者”就有可能創造出一個免費“遊戲”，吸引一些不明就裡的人們主動下載。在前段時間，Steam上就曾出現過名為《Pay for Picture》的“拚圖”遊戲，不僅使用盜來的擦邊球圖片，根據評測區的反饋，這一遊戲還在後台進行“挖礦”行為，好在經過舉報已經徹底下架了，但開發商Mola Game似乎還有著創造其他類似“遊戲”的動向，當然這些都是後話了。

　　回到Vasily的話題上，兩次遭拒的他，決定不再依靠外援，除了直接公開已經別無他法。他向HackerOne發出了最後通牒：等到7月30日之後，他就會公開這一漏洞。雖然有這樣的聲明，但是他並沒有在8月立即公開。可笑的是，還沒等他公開，他卻在8月2號收到了HackerOne的警告：禁止他公開這一漏洞，儘管他們曾“反覆聲明”這一漏洞“超出適用範圍”，並且Valve自家也“覺得”這一問題無足輕重。

　　這甚至不是人們第一次提出這一漏洞了，早在2015年就有人將類似的漏洞提交到了公共漏洞及暴露數據庫CVE中，在Vasily公布後，這一漏洞也被收錄到了國家信息安全漏洞庫中。Vasily稱，這一漏洞很容易發現，但他是第一個分析研究這一漏洞的人。在8月6號，Steam又進行了一次更新，但是問題依然沒有被修複。

　　在他發布漏洞的文章最後他還寫道“這篇文章原本打算在7月30號就發布（這是我在發出漏洞報告時給出的45天的截止日期）但是2周之後的7月20日，一個人出現並且告訴我這份報告被標為‘不適用’。他們還關閉了關於這一漏洞的討論帖，卻不給我任何解釋，甚至，他們還不希望我將漏洞公開。同時，Valve也沒有給我任何回應。不，老兄，不應該是這樣的吧。既然你們不尊重我的工作，那麽我也沒必要尊重你們的了，我沒有任何理由不公開這一漏洞。或許我會被HackerOne封禁，即便如此我也不會失望。”

　　不過這並不是說使用Steam就是不安全的，你也沒有必要卸載Steam，只不過在購買一些不明來源的遊戲時需要更加謹慎一些。外媒目前聯繫了valve，但目前還沒有受到回應，如果之後事情有所發展，請關注我們的後續報導。

　　在最新的Beta版客戶端中已經修複了通過Symlink擴大權限的機制，如果你需要的話可以在Steam設置>>账戶>>參與測試中選擇參與Steam Beta Update來進行更新。