Ang singaw ay isa sa pinakamalaking mga platform ng gaming sa buong mundo, at ginagamit ito ng maraming mga gumagamit ng Windows 10 para sa kanilang pang-araw-araw na mga sesyon sa paglalaro.

Ngayon, milyon-milyong mga manlalaro ng Windows 10 ang maaaring nasa panganib dahil sa isang "zero-day" na kahinaan sa seguridad na nakakaapekto sa Steam.

Ang seguridad ng singaw ay maaaring ikompromiso

Ang isyu ay natagpuan ng isang security researcher na si Vasily Kravets, na nagsabi na ang kahinaan ay maaring magbukas ng apektadong mga PC sa mga pag-atake ng malware, data at pagnanakaw ng password, at marami pa.

Narito ang sinabi ng security researcher sa kanyang pampublikong pagsisiwalat:

45 araw na ang lumipas mula sa paunang ulat, kaya nais kong ibunyag sa publiko ang kahinaan. Inaasahan ko na magdadala ito ng mga developer ng Steam upang gumawa ng ilang mga pagpapabuti sa seguridad. Kaya, mayroon kaming isang primitive upang kontrolin ang halos lahat ng susi sa pagpapatala, at madali itong mai-convert sa isang kumpletong EoP (Escalation of Privileges). Matapos makontrol, kinakailangan lamang na baguhin ang halaga ng ImagePath ng HKLMSYSTEMControlSet001Servicesmsiserver key at simulan ang serbisyo ng "Windows Installer". Ang programa mula sa ImagePath ay sisimulan bilang NT AUTHORITYSYSTEM.

Ang pagtaas ng mga Pribilehiyo sa Steam ay maaaring humantong sa pagkawala ng data at password

Ito ay isang pribilehiyo pagkabulok kahusayan na nagbibigay-daan sa isang umaatake na may kaunting mga pahintulot sa pag-access upang makakuha ng mga pahintulot sa admin ng system. Nangangahulugan ito na ang malware sa mga nakataas na pribilehiyo ay maaaring makaapekto sa iyong privacy at personal na data:

Ang ilan sa mga pagbabanta ay mananatiling kahit na tatakbo nang walang mga karapatan ng administrator. ang mataas na mga karapatan ng mga nakakahamak na programa ay maaaring makabuluhang taasan ang mga panganib, ang mga programa ay maaaring hindi paganahin ang antivirus, gumamit ng malalim at madilim na lugar upang itago at baguhin ang halos anumang file ng anumang gumagamit, kahit na nakawin ang pribadong data.

Ang isyung ito sa Steam Client Service ay medyo malaki at maaaring humantong sa maraming mga hindi ginustong mga problema.

Ibahagi ang iyong mga saloobin tungkol sa kahinaan sa seguridad ng "zero-day" ng Steam sa seksyon ng mga komento sa ibaba at ipagpapatuloy namin ang pahayag.