#60 hay alguna razón por la que la mayoría de los juegos se publiquen en Steam y no en GOG? O GOG tiene el mismo catálogo¿
#61 No lo tiene, no. Publicidad. La visibilidad que tiene Steam no la tiene ninguna otra plataforma. Los royalties de GoG creo que son los mismos, así que no se yo si serán mucho mas amigables con los devs xd.
Algunos juegos están solo en GoG, los tienen más cuidados con el tema traducciones, compatibiliad con SO, DRM free y tal. De cara al usuario GoG tiene sus ventajas.
#64 acceder como usuario de sistema en un ordenador de un tercero? Pues desplegar más malware (ransomware, keylogger, RAT...) para robo de datos principalmente, aunque igual si es de alguien importante puedas dar con cosas más interesantes.
#66 Pero si yo tengo Steam instalado ¿qué necesitaría una persona para atacarme? ¿Acceso físico o remoto a mi PC? ¿Necesitarían entonces explotar otra vulnerabilidad en mi seguridad antes de poder utilizar la vulnerabilidad de Steam?
#68 en teoría necesitaris ejecutar algo (no sé si es un ejecutable o script) que use la vulnerabilidad de Steam para conseguir dicho escalado de privilegios. Por ese motivo, porque se necesita "algo más", se lo han rechazado (Attacks that require the ability to drop files in arbitrary locations on the user's filesystem» and «Attacks that require physical access to the user’s device), y como comentan en páginas anteriores, igual es una característica legitima de Steam que necesita dar a diversos juegos que contienen apps anti cheats (por eso la coña de "no es un bug es un feature").
Da para debate, y por el momento se lo están revisando de nuevo. Igual lo parchean.
#69 ¿No es algo que también afecta a la seguridad propia de Windows? ¿No deberían tomar medidas desde MS también por el hecho que un software cualquiera pueda escalar privilegios en su SO? ¿O es un permiso que damos expresamente a Steam?
#70 El problema era (entre mil comillas) greenlight o algo asi que era una plataforma como para lanzar juegos de desarrolladores pequeños y cosas así y al instalar eso te la podrían colar.
No se si hay mas casos en los que al instalar en steam te la puedan colar pero no creo que las grandes compañias de videojuegos puedan meterte alguna mierda de esas
#34 Si tienes doble comprobación no te la roban.
Y si no la tienes no puedes usar el market.hehe
A lo mejor no te gusta Steam por qué no la has probado.
No necesito steam para jugar Minecraft (y mucho menos la epic store que de epic tiene poco). Y yo creo que después de esto Vulva hará una revisión de su trato con H1. O al menos debería porque vaya
#49 No, no va así. H1 se ciñe al acuerdo que tiene con Valve y es Valve la que pone las condiciones del programa de bounty. A mi en H1 me han rechazado vulnerabilidades en un programa que si aceptan en otro y es porque cada compañía estipula sus propias reglas.
#76 Aaaahh pues entonces muy mal por Valve por establecer esas reglas de mierda.
Vale que es un bug que si existiera en una aplicación poco conocida tendría impacto 0, pero en una aplicación como Steam que está instalada en muchos equipos.... deberían de tomarse un EoP como algo más grave.
Actualización Beta de Steam de 9 de agosto [Corregida la vulnerabilidad de escalada de privilegios]
https://steamcommunity.com/groups/SteamClientBeta/announcements/detail/1602638506845644644
Steam Windows Service
Fixed privilege escalation exploit using symbolic links in Windows registry
Bastante rápidos pero a ver si se toman mas en serio esto la próxima vez y no rechazan con tanta facilidad.
Viendo el nivel de preocupación en este thread sobre este tipo de vulnerabilidad, habría que empezar a considerar migrar a Linux.
12 días después
