Steamクライアントで過去10年にわたってユーザーのPCをリモート制御できる深刻な脆弱性が放置されていたとの報告

by BagoGames

PCゲームのダウンロード販売用プラットフォームであるSteamで、「2017年7月まで少なくとも10年は、Steamクライアントに外部からリモートでコードが実行される脆弱性があったと確認された」とサイバーセキュリティ企業・Contextの公式ブログで報告されています。なお、この脆弱性は既に修正されています。

Frag Grenade! A Remote Code Execution Vulnerability in the Steam Client | Context Information Security
https://www.contextis.com/blog/frag-grenade-a-remote-code-execution-vulnerability-in-the-steam-client

Contextのセキュリティ研究者であるトム・コート氏は2018年2月20日、Steamを運営するValveに対し、Steamクライアントにバグが存在することを報告しました。このバグは、SteamクライアントのUDPパケットのチェックに問題があり、特定の条件下でヒープ破損が生じるというもので、このバグが悪用されると外部からリモートでコードを実行することが可能になるとのこと。コート氏は「このバグは悪意のあるプログラムの基盤として使用されていた可能性があります。バグそのものは非常に単純なので、悪用するのは比較的簡単でした」と語っています。

実際にContextの研究員がSteamの脆弱性を利用して電卓アプリを起動させている様子を、以下のムービーで見ることができます。

(56) A Remote Code Execution Vulnerability in the Steam Client - YouTube


ただし、2017年7月にValveがSteamクライアントにASLRと呼ばれるセキュリティ機能を実装した際、この脆弱性を悪用するのはほぼ不可能になったとのこと。また、クラッカーがこの脆弱性を悪用するためには、Steamクライアントとサーバーの接続を確認してから悪質なパケットを送信する必要があるので、実際には個々のユーザーを標的とするのはかなり難しいものがあったそうです。

実際にはそれほど大きなセキュリティ上の問題ではなかったわけですが、コート氏は「それでも、こんなに深刻かつ単純なバグが、人気の高いソフトウェアプラットフォームに長年にわたり存在しているという事実は驚くべきことです。脆弱性を生んでいたコードはおそらく非常に古いものです。開発者は、たとえコードの機能に変更がなくても、定期的に最新のセキュリティ基準に準拠しているかどうかを確認するべきです」と述べています。

なお、Valveは報告から8時間には修正を行い、わずか12時間後にはベータ版クライアントで修正を完了。さらに2018年4月4日のクライアント更新で安定版クライアントにも修正が行われました。コート氏はValveの迅速な対応に対して「おそらくContextが今まで関係してきた企業のなかでも最も速い対応だった」と評価しています。