Steam de Valve
Un chercheur en sécurité vient de dévoiler l’existence d’une faille Zero Day dans le client Windows de Steam. Elle a été ignorée par Valve si bien que Vasily Kravets a publié des détails pour l’exploiter.
Ce problème a été découvert lors d’une vérification de sécurité du client Windows de Steam. La faille est complexe mais son exploitation est dangereuse pour l’utilisateur et son ordinateur. Selon Vasily Kravets, elle permet à tout programme de s’exécuter avec les droits les plus élevés possibles. En théorie, un pirate qui publie une application via Steam peut infecter facilement un PC.
Bizarrement Valve ne s’est pas empressé de corriger le problème. Selon les premières déclarations de Valve cette faille n’était pas exploitable. Le chercheur a alors pris la décision de prouver le contraire sur HackerOne en publiant une méthode pour déposer des fichiers à des emplacements arbitraires sur un PC exécutant Steam. Toutes les étapes de cette méthode ne sont pas en encore disponibles pour “monsieur tout le monde”. L’objectif est de laisser un peu de temps à Valve pour apporter les corrections nécessaires avant une publication « grand public ».
Pour le moment pas de changement de position du coté de Valve. L’entreprise semble ignorer le problème. Une mise à jour du client Steam a eu lieu mais elle ne colmate pas cette faille.
AMD a dévoilé des résultats intéressant autour de son processeur Ryzen AI 9 HX 370.… Lire d'avantage
Microsoft a publié la première image ISO de Windows 11 ARM. Elle permet de faire… Lire d'avantage
MSI élargit son offre de Watercooling AIO (All-in-One) avec l’introduction récente de la série CoreLiquid… Lire d'avantage
Le MAG CoreLiquid I240 est un AIO signé MSI sous la barre des 110 €.… Lire d'avantage
En réponse à son dernier bilan trimestriel mitigé, AMD va réduire sa masse salariale. En… Lire d'avantage
La nouvelle génération de GPU « Blackwell » de NVIDIA se démarque de son prédécesseur… Lire d'avantage
Voir commentaires
Plus précisément, le fix a été publié par Valve le 13/08, mais est "bypassable". Du coup, officiellement (pour Valve), c'est corrigé alors qu'en fait non. Un peu flippante comme faille (pour résumer, Steam donne les full privileges à toutes les apps que l'on lance). Pas très sécure tout ça...