知名遊戲平台Steam本周驚爆程式擁有尚無修補程式的安全漏洞,預計將影響逾1億玩家。

本周代號「Felix」俄羅斯安全研究人員發現Windows版的Steam客戶端程式存在零日漏洞,所謂的零日漏洞或稱零時差漏洞(Zero-day exploit、 zero-day、0-day)是指尚無修補程式的安全漏洞,提供該漏洞細節或者利用程式的人通常是該漏洞的發現者,這樣的漏洞對程式與網路有巨大的威脅,而Felix表示只要透過該漏洞,駭客便可以取得管理員權限,並執行任意程式。

另一位研究員Matt Nelson透過Felix發現的漏洞另行創建了一個「HKLM:\SYSTEM\CurrentControlSet\Services\Steam」客戶機服務的符號連結,就可以更改重新啟動服務時的可執行文件,由於零日攻擊唯一徹底解決方法便是由原軟體發行公司提供修補程式,因此Felix與Nelson選擇通報Vavle並要求賞金,但並沒有得到修改漏洞的承諾,也不願意支付兩人應有的賞金獎勵。

兩人因此決定公布該漏洞細節,目前Vavle尚未對此事發布公開聲明。