Steam vừa phải sửa lỗi cho người khác chiếm PC của game thủ

Một bug cơ bản nhưng có thể giúp kẻ xấu kiểm soát và chạy phần mềm trên các máy bất kỳ có sử dụng Steam.

Bản cập nhật thường kỳ mới nhất của Steam vừa được tung ra với những hoàn thiện cuối cùng cho lỗi lặp trong game, đồng thời sửa đổi nhiều vấn đề khác, ví dụ như các item bị lỗi trên Steam Workshop. Đáng chú ý là sự phát hiện một lỗi khiến cho những máy tính đang chạy Steam có nguy cơ bị truy cập và chiếm quyền từ xa, lỗi này cũng được sửa sau khi cập nhật.

Nhà nghiên cứu bảo mật Tom Court là người đã phát hiện và đăng tải trên blog cá nhân về sơ hở của Steam và nguy cơ bị lợi dụng. Anh tóm tắt ngắn gọn: “Về cơ bản, lỗ hổng này là một tập hợp những sai lạc trong thư viện client của Steam, khiến cho máy tính có thể bị kích hoạt từ xa, trong vùng mã được xử lý dữ liệu phân mảnh tập hợp từ các gói UDP đã nhận.” Tom Court tự mình minh họa trong một video đính kèm, cho thấy anh có thể cướp quyền kiểm soát từ xa và chạy phần mềm trên một máy tính khác. Trong video, Court chỉ sử dụng một ứng dụng tính toán để minh họa, nhưng rõ ràng là những phần mềm độc hại hơn đều khả thi.

Tom Court thực hành bẻ khóa

Ngay sau khi được phát hiện, Valve nhanh chóng chỉnh sửa lỗ hổng với một bản vá trên nhánh beta của Steam, hoạt động ngay sau đó 8 giờ. Court bình luận: “Đây là một lỗi vô cùng đơn giản, được thực hiện trực tiếp nhắm vào việc khai thác (dữ liệu) lợi dụng sự thiếu cập nhật các biện pháp bảo vệ. Đoạn code bị tấn công dường như đã rất cũ nhưng vẫn hoạt động tốt, do đó các lập trình viên bỏ qua nó hoặc không nâng cấp nó. Bài học rút ra ở đây là các lập trình viên cần định kỳ kiểm tra các code và hệ thống cũ, đảo bảo chúng đáp ứng được những tiêu chuẩn bảo mật hiện đại nhất.”