Un chercheur en sécurité vient de dévoiler l’existence d’une faille Zero Day dans le client Windows de Steam. Elle a été ignorée par Valve si bien que Vasily Kravets a publié des détails pour l’exploiter.
Ce problème a été découvert lors d’une vérification de sécurité du client Windows de Steam. La faille est complexe mais son exploitation est dangereuse pour l’utilisateur et son ordinateur. Selon Vasily Kravets, elle permet à tout programme de s’exécuter avec les droits les plus élevés possibles. En théorie, un pirate qui publie une application via Steam peut infecter facilement un PC.
Bizarrement Valve ne s’est pas empressé de corriger le problème. Selon les premières déclarations de Valve cette faille n’était pas exploitable. Le chercheur a alors pris la décision de prouver le contraire sur HackerOne en publiant une méthode pour déposer des fichiers à des emplacements arbitraires sur un PC exécutant Steam. Toutes les étapes de cette méthode ne sont pas en encore disponibles pour “monsieur tout le monde”. L’objectif est de laisser un peu de temps à Valve pour apporter les corrections nécessaires avant une publication « grand public ».
Pour le moment pas de changement de position du coté de Valve. L’entreprise semble ignorer le problème. Une mise à jour du client Steam a eu lieu mais elle ne colmate pas cette faille.
Le menu Démarrer de Windows 11 va continuer à évoluer. Microsoft travaille sur une importante… Lire d'avantage
Le grand rendez-vous de cette année n’est pas Windows 12 mais Windows 11 24H2. Cela… Lire d'avantage
Nvidia propose de nouveaux pilotes graphiques Game Ready, les GeForce 552.44 WHQL. Voici les faits… Lire d'avantage
Nvidia mène des tests autour de ses GeForce RTX 50 series. Ils concernent la conception… Lire d'avantage
Nvidia travaille sur sa prochaine génération de carte graphique dont la GeForce RTX 5090. Que… Lire d'avantage
Microsoft teste des nouvelles restrictions si Windows 11 n’est pas activé. Elles concernent une application… Lire d'avantage
Voir commentaires
Plus précisément, le fix a été publié par Valve le 13/08, mais est "bypassable". Du coup, officiellement (pour Valve), c'est corrigé alors qu'en fait non. Un peu flippante comme faille (pour résumer, Steam donne les full privileges à toutes les apps que l'on lance). Pas très sécure tout ça...