Windows版Steam、特定処理で上位権限を利用可能にする脆弱性が判明―悪意あるコード・プログラムに利用される危険も
Valveのゲーム配信プラットフォーム「Steam」Windows版クライアントのサービス実行中、特定の処理を行うことで上位権限の利用が可能な脆弱性が発表されました。
ゲーム開発
サーバー・ホスティング
これは、SteamのWindows版クライアントに付随する「Steam Client Service」をある手法で用いることで、あらゆるプログラムが、本来のユーザー権限を無視して、任意の上位権限で実行可能となるもの。発見者のVasily Kravets氏は、通常の発表までの猶予90日に対し、わずか45日で脆弱性の発表に踏み切っていますが、これは第三者運営の脆弱性の検証・報告プラットフォーム上にて問題が軽視され、間違った理由で2度のリジェクトを受けたためであるとしています。
なお、主にこの問題に関連して起こり得る現象としては、悪意あるコード・プログラムに、SteamのWindows版クライアントを一種の踏み台として利用される危険性が挙げられます。
もちろんこれ単体では、画像やWebページを閲覧してもソフトウェアを自動的に実行するわけではなく、悪意あるコード・プログラムである可能性が高い何らかのファイルを実行しない限りは基本的に問題ありません。しかしながら、万が一のことも考えられるため、素早い対応が望まれます。
