无主之地2配置高吗|看真人裸体BBBBB|秋草莓丝瓜黄瓜榴莲色多多|真人強奷112分钟|精品一卡2卡3卡四卡新区|日本成人深夜苍井空|八十年代动画片

網易首頁 > 網易號 > 正文 申請入駐

Steam曝9.0分高危漏洞:點個鏈接號就沒了

0
分享至

今天刷到這個漏洞評分的時候,我整個人愣住了——CVSS 9.0分。滿分10分,這個數字意味著什么,稍微關注過安全圈的老哥應該都懂。

Valve的Steam平臺最近被曝出一個安全漏洞,危險等級屬于"嚴重"那一檔。攻擊手法簡單到讓人后背發涼:你只需要點一下聊天消息里的一個鏈接,賬號的全部個人數據就會被靜默傳輸給攻擊者。沒有彈窗警告,沒有二次確認,頁面甚至會正常跳轉到Steam首頁——表面上看起來一切正常,但在后臺,你的信息已經被無聲息地拿走了。


發現這個漏洞的是白帽黑客Victor,他是在漏洞賞金計劃期間挖到的。Victor此前曾多次向Steam提交漏洞報告,也幫助修復過一些關鍵安全問題。他本人公開披露時說了這么一句話:他在Hacker0x01平臺參與漏洞賞金時,從一家估值4500億美元的公司身上,發現了一個一鍵式的嚴重漏洞。

那么問題來了:這個漏洞到底怎么運作的?為什么評分會這么高?

攻擊鏈條拆解:一次點擊就夠了

根據目前披露的技術細節,攻擊者會制作一個惡意鏈接,偽裝成普通的Steam商店頁面或者游戲頁面,外觀上和正規鏈接完全看不出區別。當用戶點擊之后,個人數據被竊取的過程就已經完成。整個過程不需要用戶輸入密碼,不需要確認彈窗,更不需要下載任何文件——就一次點擊。

這個特性直接拉高了它的CVSS評分。通常情況下,能拿到9.0分以上的漏洞,要么是可以遠程利用,要么是攻擊復雜度極低,要么是影響范圍巨大。而這個漏洞三條全占。攻擊門檻極低,不需要任何技術背景,只要能生成一個惡意鏈接即可;利用方式隱蔽,普通用戶根本察覺不到數據已經泄露;影響范圍覆蓋整個Steam的用戶群體,涉及數億個賬號。

更麻煩的是它會自己傳播

如果只是偷一個賬號的數據,那還算是個"普通"的高危漏洞。但這個漏洞具備蠕蟲式傳播的特性,這部分細節才是真正讓人覺得麻煩的地方。

一旦某個賬號被攻陷,惡意代碼會自動通過該賬號的Steam聊天好友列表,向所有好友發送同樣的惡意鏈接。因為是好友發來的消息,接收方天然會有信任感,點擊率會大幅提升。而被攻陷的賬號又會變成新的傳播節點,繼續向它的好友列表擴散。這種自我復制、快速蔓延的機制,讓漏洞在平臺內部可能實現大規模傳播,而不是僅僅停留在單個賬號被竊取的程度。

這意味著即便你自己足夠警惕,不點陌生鏈接,但如果你的某位好友已經中招,你依然可能收到來自"好友"的惡意消息。而人在收到熟人消息時的警惕心,是遠低于收到陌生人消息時的。

正方:這波Valve反應太慢了

截至目前的公開信息顯示,Valve這家估值約4500億美元的公司,尚未發布修復該漏洞的補丁,也沒有就此事件發表官方聲明。換句話說,這個漏洞現在仍然處于可被利用的狀態,數億Steam用戶的數據安全持續面臨威脅。

站在安全從業者和受影響用戶的角度看,這個響應速度確實讓人難以接受。一個CVSS 9.0分的漏洞被公開披露,正常流程應該是官方迅速響應、發布補丁、通知用戶、給出臨時防護建議。但從目前的進度來看,Valve還沒走到第一步。外媒普遍關注這家行業巨頭面對高危漏洞時的反應速度,以及何時才能為數億用戶提供有效的安全修復方案。

而且別忘了,Valve的市值是4500億美元——這不是一個小作坊。用戶量級和商業體量擺在那里,安全響應機制卻顯得遲鈍,這部分確實該挨批評。

反方:漏洞利用條件其實沒那么寬松

但從另一個角度看,這個漏洞雖然評分高,實際利用卻存在一些天然限制。首先,攻擊需要用戶主動點擊惡意鏈接,而不是完全無交互的遠程利用。對于那些本身就有安全習慣、不隨便點聊天鏈接的用戶來說,中招概率會大幅降低。

其次,漏洞雖然能竊取個人數據,但Steam本身有令牌驗證機制和登錄記錄檢查功能。開啟令牌驗證能增加一層額外保護,定期檢查賬號登錄記錄也能及時發現異常。這些手段不能完全堵住漏洞,但能在一定程度上降低風險。安全專家給出的臨時建議也集中在這幾塊:近期絕對不要點擊聊天消息中任何來歷不明的鏈接,哪怕發送者是你的好友——因為好友的賬號可能已經被攻陷了。同時開啟Steam令牌驗證,完成賬號登錄記錄的檢查,能在補丁出來之前給自己多爭取一點安全空間。

另外還有一個值得注意的點:發現漏洞的Victor是通過漏洞賞金計劃提交的,這意味著漏洞是被白帽黑客在正規渠道挖出來的,而不是已經流入黑市或者在野利用中被捕獲。從漏洞的生命周期來看,這算是一個相對可控的階段,比那些已經在暗網流傳了半年才被發現的情況要好得多。

到底有多嚴重?兩邊的說法都有道理

說實話,兩邊觀點各有依據。這個漏洞的危險性毋庸置疑,CVSS 9.0的分數本身就是一個專業評估結果,不是媒體為了流量炒出來的。攻擊方式的隱蔽性、數據被竊取的靜默性、蠕蟲式的自動傳播能力,這三條每一條單獨拎出來都夠喝一壺的,組合在一起確實稱得上"嚴重"二字。

但同時也得承認,漏洞的實際危害規模取決于利用它的人能鋪多廣的傳播面。如果用戶端有足夠的警惕性,平臺方能在短時間內推出補丁,那么真實受影響的范圍可能會被控制在一定限度內。問題是,"短時間內"這個前提目前還沒兌現。Valve的沉默讓這個窗口期被拉長了,而窗口期越長,出事的概率就越大。

說到底,一個估值4500億美元的公司,面對9.0分的漏洞,補丁速度決定了這件事最終的定性。如果明天就修了,那只是一次有驚無險的安全事件;如果拖上好幾天甚至更久,那用戶有理由問一句:安全團隊到底在干嘛?

作為普通Steam用戶,現階段能做的最實際的事情其實就兩條:一,管住手,任何鏈接都不要點,哪怕是你兄弟發來的;二,開令牌,查登錄記錄。剩下的,就看Valve什么時候把這補丁端上來了。

特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相關推薦
熱點推薦
包惠僧叛逃國民黨,建國后要求回歸,毛主席:給黨內同志一個交代

包惠僧叛逃國民黨,建國后要求回歸,毛主席:給黨內同志一個交代

云霄紀史觀
2026-07-03 01:16:09
上周面試過了一個候選人,薪資也談到58k*16了。結果背調的時候,前公司給了句:不建議錄用。offer懸了,前司的離職評價真那么重要么

上周面試過了一個候選人,薪資也談到58k*16了。結果背調的時候,前公司給了句:不建議錄用。offer懸了,前司的離職評價真那么重要么

勵職派
2026-07-01 22:50:59
萊奧:我們希望奪冠把獎杯送給C羅,我認為我們可以走得很遠

萊奧:我們希望奪冠把獎杯送給C羅,我認為我們可以走得很遠

懂球帝
2026-07-03 10:28:21
世界杯淘汰賽解析:哥倫比亞要“殺”瘋了!3-0,直接把加納送回家!

世界杯淘汰賽解析:哥倫比亞要“殺”瘋了!3-0,直接把加納送回家!

天光破云來
2026-07-03 10:46:56
十年死敵變新東家!杰倫布朗直播炮轟凱爾特人:交易全程毫無尊重

十年死敵變新東家!杰倫布朗直播炮轟凱爾特人:交易全程毫無尊重

夜白侃球
2026-07-03 11:37:07
2026上半年電影總票房僅173億元 暴跌超40%

2026上半年電影總票房僅173億元 暴跌超40%

快科技
2026-06-30 21:49:05
各地組織開展“光榮在黨50年”紀念章頒發活動

各地組織開展“光榮在黨50年”紀念章頒發活動

新華社
2026-07-02 10:55:22
央視罕見公開西太對峙細節!日艦模擬攻擊遼寧艦,結果沉默?

央視罕見公開西太對峙細節!日艦模擬攻擊遼寧艦,結果沉默?

青青衫書生
2026-06-30 13:24:21
西安警方通報:3人發布涉賽格墜樓事件謠言被處罰

西安警方通報:3人發布涉賽格墜樓事件謠言被處罰

界面新聞
2026-07-02 20:45:02
森保一:我不知道韓國民眾對韓國隊的評價如何,他們已經盡力了

森保一:我不知道韓國民眾對韓國隊的評價如何,他們已經盡力了

懂球帝
2026-07-03 03:11:07
至少4次攻擊太空通訊中心!俄版“星鏈”將取得突破,全力阻止?

至少4次攻擊太空通訊中心!俄版“星鏈”將取得突破,全力阻止?

鷹眼Defence
2026-07-02 17:05:49
不太高興,C羅第二次在世界杯淘汰賽被提前換下

不太高興,C羅第二次在世界杯淘汰賽被提前換下

懂球帝
2026-07-03 09:03:12
世人都誤解了:俄國人從來不善戰,他們更擅長的是承受恐怖傷亡

世人都誤解了:俄國人從來不善戰,他們更擅長的是承受恐怖傷亡

李健政觀察
2026-06-30 16:47:04
一場被吹掉3個越位球!魔笛無奈苦笑 國外網友:克羅地亞被搶劫了

一場被吹掉3個越位球!魔笛無奈苦笑 國外網友:克羅地亞被搶劫了

風過鄉
2026-07-03 09:56:53
深圳房價正在逐步失控!

深圳房價正在逐步失控!

米宅
2026-07-03 07:28:03
張雪糾正島內車主“是我們”,國臺辦發言人朱鳳蓮:這樣的對話讓我想起了一首歌

張雪糾正島內車主“是我們”,國臺辦發言人朱鳳蓮:這樣的對話讓我想起了一首歌

政知新媒體
2026-07-02 10:56:42
曝曼聯對M費非常不滿!其穿上熱刺球衣稱偶像是B費,豪言英超爭冠

曝曼聯對M費非常不滿!其穿上熱刺球衣稱偶像是B費,豪言英超爭冠

羅米的曼聯博客
2026-07-03 10:54:15
曾是上海著名滑稽演員,妻子是我們熟悉的她,如今70歲靠商演謀生

曾是上海著名滑稽演員,妻子是我們熟悉的她,如今70歲靠商演謀生

胡一舸南游y
2026-07-02 14:58:35
泰山被曝用135公里刀片刺繩隔離網圍山,泰山景區最新回應:接受批評,與正常游覽路線不交叉不重疊

泰山被曝用135公里刀片刺繩隔離網圍山,泰山景區最新回應:接受批評,與正常游覽路線不交叉不重疊

大象新聞
2026-07-02 09:55:29
網傳煙草行業進入艱難時刻,難道他們也要裁員,評論區炸鍋…

網傳煙草行業進入艱難時刻,難道他們也要裁員,評論區炸鍋…

慧翔百科
2026-07-02 17:43:15
2026-07-03 12:19:00
霧野尋蹤2
霧野尋蹤2
有態度網友ytd
180文章數 5關注度
往期回顧 全部

游戲要聞

曝PS6將2027年秋發售!全數字化已規劃多年不會逆轉

頭條要聞

牛彈琴:印度哥哥迎來日本小妹妹 這場外交好戲不簡單

頭條要聞

牛彈琴:印度哥哥迎來日本小妹妹 這場外交好戲不簡單

體育要聞

韓國人,為什么恨透了洪明甫?

娛樂要聞

黃曉明深夜約會美女,分手原因曝光

財經要聞

AI“鬼故事”不斷,市場開始重估?

科技要聞

特斯拉交付超預期7.4萬輛,股價卻大跌7.5%

汽車要聞

極氪9X五座版官宣,如圖!

態度原創

教育
數碼
親子
旅游
本地

教育要聞

點贊!這位土生土長的平谷姑娘,今年高考裸分上清北!

數碼要聞

AMD奇怪顯卡現身!標稱RX 7900 XTX實則規格對標GRE

親子要聞

小楊阿姨帶箖箖到公園運動,筱梅北京忙帶娃!

旅游要聞

成就旅游友好型城市!汕潮揭民宿打破地域壁壘走向“共享”

本地新聞

這場穿越酉陽的光影之旅,張張都是壁紙!

無障礙瀏覽 進入關懷版