MISE À JOUR La pression augmente sur l’éditeur de jeux Valve, après que deux groupes de chercheurs en sécurité se sont plaints de sa lenteur à résoudre la sécurité failles dans sa plate-forme Steam populaire

Une vulnérabilité de moteur source Steam apparemment critique découverte par «Florian», membre du groupe de rétro-ingénierie Secret Club, et datant de 2019 ne serait toujours pas résolue – à la grande consternation de la personne impliquée et de ses collègues de recherche en sécurité.

Florian a signalé la faille à Valve via un programme de primes de bogues exécuté par HackerOne, mais malgré de multiples tentatives pour résoudre le problème, aucune mesure n’a été prise, même si la faille de sécurité a été « vérifiée / triée après quelques mois », selon au chasseur de bogues

Secret Club a fait part de sa frustration dans une mise à jour Twitter au cours du week-end: « Il y a deux ans, le membre du Secret Club @floesen_ a signalé une faille d’exécution de code à distance (RCE) affectant tous les jeux du moteur source.

« Cela peut être déclenché via une invitation Steam », a ajouté le groupe «Cela n’a pas encore été corrigé, et Valve nous empêche de le divulguer publiquement »

Un outil de suivi du problème – CVE-2021-30481 – a été ajouté à la base de données nationale des vulnérabilités du NIST le lundi 12 avril.

« Valve Steam jusqu’au 10/04/2021, lorsqu’un jeu de moteur Source est installé, permet aux utilisateurs authentifiés à distance d’exécuter du code arbitraire en raison d’un dépassement de mémoire tampon qui se produit pour une invitation Steam après un clic », indique l’entrée

Séparément cette semaine, un autre chercheur en sécurité, Bien Pham, a exprimé ses inquiétudes quant au fait qu’une faille qu’il a signalée dans Steam pose également un risque d’exécution de code à distance.

« RCE peut être atteint en se connectant à un serveur malveillant, puis la chaîne sera complétée lorsque le jeu redémarrera », a déclaré Pham, basé à Singapour, dans un message sur Twitter.

En réponse aux questions de suivi de The Daily Swig, Pham a confirmé que la deuxième faille restait non résolue, mais a refusé d’entrer dans les détails, au-delà de la décrire comme un «bogue logique»

Le chercheur – qui a ajouté qu’il était « à peu près sûr » que la faille était différente de celle découverte par Florian – a déclaré qu’il n’y avait aucune preuve d’une exploitation de la vulnérabilité, mais a néanmoins critiqué Valve pour son inaction apparente.

«La raison pour laquelle Valve a retardé sa réponse pendant longtemps, je pense que la politique [HackerOne] permet aux fournisseurs de conserver le rapport indéfiniment Et Valve, ils comptent sur la sécurité à travers l’obscurité », a déclaré Pham

Le Daily Swig a contacté l’équipe des relations publiques de Valve pour obtenir des commentaires via un formulaire sur le site Web de l’éditeur de jeux.

Aucun mot pour l’instant, mais nous mettrons à jour cette histoire au fur et à mesure que de plus amples informations seront disponibles en réponse aux questions de The Daily Swig, HackerOne a fait le commentaire suivant

« Notre politique est de ne pas commenter les programmes des clients sans leur consentement », a déclaré HackerObe « Cependant, nous pouvons dire que nous prenons au sérieux les problèmes de réactivité et de divulgation et que nous travaillerons en étroite collaboration avec nos partenaires chez Valve pour remédier à cette situation. »

Lancé en 2003, Steam est le service de distribution de jeux vidéo le plus populaire au monde, prenant jusqu’à 75% du marché mondial et attirant environ 20 millions de joueurs chaque jour

Chris Boyd, un chercheur en sécurité avec Malwarebytes et un joueur passionné qui a passé des années à rechercher la sécurité de diverses plates-formes de jeu, n’avait aucune connaissance directe des vulnérabilités en jeu, mais a déclaré qu’il avait été en mesure de faire réparer Valve / Steam directement. failles signalées dans le passé

«J’ai signalé plusieurs problèmes à Steam au fil des ans et ils ont été résolus très rapidement, comme une méthode utilisée par les hameçonneurs pour contourner la protection Steam Guard», a déclaré Boyd au Daily Swig

« Cependant, ces problèmes n’ont pas été signalés via les programmes de primes de bogues et n’étaient probablement pas aussi complexes à résoudre que les problèmes actuels »

« Avec autant de titres utilisant le moteur source, cela peut prendre un certain temps encore pour tester et résoudre sans potentiellement casser les fonctionnalités essentielles de certains jeux », a-t-il ajouté.

VOUS POURRIEZ AUSSI AIMER La montée en flèche des malwares et des cyberattaques devrait se poursuivre, avertit Europol dans le rapport SOCTA

John Leyden

@jleyden

Counter-Strike: Global Offensive, Counter-Strike, Valve Corporation, Steam, Source, Vulnerability, Computer, Computer security

News – FR – La pression augmente sur Valve pour débrancher les jeux Steam vulnérabilités de la plateforme
Titre associé :
La pression augmente sur Valve pour débrancher le jeu Steam vulnérabilités de la plate-forme
CS: GO a un bogue vieux de plusieurs années qui peut laissez un hacker prendre le contrôle de votre ordinateur
Old CS: GO Vulnerability permet aux pirates de prendre le contrôle de Votre PC
Rapports: Counter Strike: Le bogue Global Offensive permet le piratage de PC
Bogue offensif global qui permet le piratage de PC
CS: GO: un bug permet l’invasion de PC à partir d’invitations Steam

Source: https://portswigger.net/daily-swig/pressure-grows-on-valve-to-unplug-steam-gaming-platform-vulnerabilities

En s’appuyant sur ses expertises dans les domaines du digital, des technologies et des process , CSS Engineering vous accompagne dans vos chantiers de transformation les plus ambitieux et vous aide à faire émerger de nouvelles idées, de nouvelles offres, de nouveaux modes de collaboration, de nouvelles manières de produire et de vendre.

CSS Engineering s’implique dans les projets de chaque client comme si c’était les siens. Nous croyons qu’une société de conseil devrait être plus que d’un conseiller. Nous nous mettons à la place de nos clients, pour aligner nos incitations à leurs objectifs, et collaborer pour débloquer le plein potentiel de leur entreprise. Cela établit des relations profondes et agréables.

Nos services:

  1. Création des sites web professionnels
  2. Hébergement web haute performance et illimité
  3. Vente et installation des caméras de vidéo surveillance
  4. Vente et installation des système de sécurité et d’alarme
  5. E-Marketing

Toutes nos réalisations ici https://www.css-engineering.com/en/works/