La vulnerabilidad del protocolo Steam Browser puede permitir que los piratas inform√°ticos secuestren PC

Los investigadores de seguridad italianos Luigi Auriemma y Donato Ferrante de ‘ReVuln‘inform√≥ la falla en el protocolo de navegador de Steam. Transmita la popular plataforma de distribuci√≥n en l√≠nea con 54 millones de usuarios.

La falla le permite al atacante escribir texto arbitrario para archivar y dirigir a las víctimas a cargas externas e incluso la computadora puede hacerse cargo. La popular plataforma de juegos utiliza el protocolo steam: // URL para ejecutar, instalar y desinstalar juegos, hacer copias de seguridad de archivos, conectarse a servidores y llegar a varias secciones dedicadas a los clientes.

Es posible Safari, Maxthon y Firefox y otros navegadores basados ‚Äč‚Äčen el motor Mozilla, invocar silenciosamente las URL de Steam.

En el informe, dijeron que los navegadores, incluidos Firefox y los clientes de software, incluido RealPlayer, ejecutar√≠an el controlador de URL externo sin advertencias y eran “un vector perfecto para realizar llamadas silenciosas de protocolo de navegador Steam”.

Los investigadores demostraron cómo los usuarios del enorme motor de juegos Source, que alberga juegos como Half-Life y CounterStrike, podrían ser atacados. Usaron cuatro comandos para escribir código personalizado en el archivo, incluido un archivo bat que ejecuta comandos cuando los usuarios iniciaron Steam. También pudieron ejecutar código malicioso remoto a través del motor Unreal que se vio afectado por muchas vulnerabilidades de desbordamiento de enteros.

La vulnerabilidad del protocolo Steam Browser puede permitir que los piratas inform√°ticos secuestren PC 1

“En una prueba de concepto relacionada con el navegador Steam, los atacantes usaron YouTube enlaces dentro de los perfiles de usuario de Steam para cebar a los usuarios. Los usuarios que vieron los videos y quisieron dejar comentarios ser√≠an suplantados con Steam malicioso: // URL que apuntaban a sitios externos “, explic√≥ Darren Pauli.