یک آسیب پذیری اجرای کد از راه دور جدی

Valve نقص امنیتی که برای بیش از ۱۰ سال در سرویس دهنده Steam پنهان شده بود را رفع کرد.
اخباری این چنین، تاکید بر این حقیقت دارند که کار توسعه هرگز پایان نمی‌پذیرد و استانداردهای امنیتی مدرن می‌تواند موجب بروز نقص‌هایی در کدنویسی شود که به نظر می‌رسد بسیار قوی باشد.
Valve اخیرا یک نقص امنیتی در client Steam خود که حداقل برای دهه گذشته پنهان بوده را رفع کرده است. تا ژوئیه گذشته، کد دلخواه میتوانست از راه دور توسط فردی که این باگ را کشف کرده، اجرا شود.
محقق امنیتی با نام Tom Court به همراه همکاران خود این نقص امنیتی را در تاریخ ۲۰ فوریه ۲۰۱۸ به Valve گزارش داد. در کمتر از هشت ساعت، یک پچ برای مشتری‌ها فرستاده شد. نسخه بدون نقص رسمی در اواخر ماه مارس، به client Steam رسید.
آسیب پذیری، در هسته، در یک منطقه از کد که دیتاگرام را از چندین بسته UDP دریافتی، مجددا پردازش می‌کند، قرار داشت که ناشی از عدم وجود یک بررسی ساده برای اطمینان از جدا شدن اولین بسته دیتاگرام است. طول بسته مشخص شده کمتر یا برابر طول کل دیتاگرام بود. Court آن را به عنوان یک اشکال اساسی توصیف کرد - احتمالا یک نظارت ساده با توجه به بررسی در همه بسته‌های بعدی وجود داشت این واقعیت که چنین اشکال ساده‌ای با چنین عواقب جدی این همه سال در چنین چارچوب مشهوریوجود داشته است، باید به عنوان یک درس برای توسعه دهندگان به کار گرفته شود تا به طور دوره‌ای کد‌های قدیمی و سیستم‌ها را برای اطمینان از مطابقت با استانداردهای امنیتی مدرن بررسی کنند.

منبع:
https://www.techspot.com/news/۷۴۸۸۴-valve-patches-security-flaw-steam-client-hidden-more.html



CAPTCHA
دفعات مشاهده: 8590 بار   |   دفعات چاپ: 780 بار   |   دفعات ارسال به دیگران: 0 بار   |   0 نظر