Terribile bug di Steam: i computer di 125 milioni di videogiocatori vulnerabili da oltre 10 anniSe è vero come dice Steam che i suoi utenti sono circa 125 milioni, è anche vero un bug del client PC permetteva a chiunque di eseguire codice di ogni tipo. Una falla che esiste da 10 anni ma scoperta solo ora.
I computer di decine di milioni di videogiocatori sono stati “a rischio” negli ultimi 10 anni. Tutta colpa di un bug nel client di Steam, la piattaforma di Valve per la vendita e la distribuzione di giochi. Il merito della scoperta va a Tom Court, un ricercatore che ha trovato la falla e l’ha segnalata a Valve: l’azienda ha rilasciato una versione corretta del client ad aprile e
ha ringraziato nelle note di rilascio il ricercatore, senza però spiegare che grazie a lui era stata chiusa una delle falle più grandi mai lasciate in un software.
Senza entrare troppo nei dettagli (
ma qui c'è tutto), sfruttando l’errore di programmazione e conoscendo l’indirizzo IP della potenziale vittima era possibile, senza troppa difficoltà,
eseguire del codice e lanciare applicazioni. Il ricercatore ha mostrato chiaramente come, con un semplice script Python,
è riuscito a lanciare la calcolatrice in ambiente Windows 10 sfruttando proprio la vulnerabilità di una precedente versione vulnerabile del client di Steam.
Secondo Tom Court con pochi passaggi era possibile prendere il controllo completo del computer,
scaricare e caricare file e accedere a ogni cartella e file, incluse eventuali password. Va precisato che, nonostante il bug sia stato ufficialmente chiuso il mese scorso, una serie di cambiamenti apportati da Valve nel luglio del 2017 avevano reso più difficile, ma non impossibile, lo sfruttamento dell'exploit.
Una falla di questo tipo è gravissima, ed è grave
che sia rimasta aperta per 10 anni su oltre 125 milioni di computer. Qualcuno l'ha scoperta e sfruttata prima di Tom Court? Impossibile dirlo, ma il dubbio resta.
Rispondi Citando