13:01
Unknown
Pesquisadores de segurança da ReVuln identificaram um problema na forma que o programa do serviço de compra de games por download Steam permite a interação dos softwares instalados no PC com páginas web.
O erro, segundo eles, é que links iniciados com "steam://" podem permitir que comandos sejam executados no PC, dependendo dos títulos que estiverem instalados. Desse modo, o computador do usuário pode ser infectado por meio de comandos enviados por meio do Steam.
Os pesquisadores conseguiram identificar comandos dos motores gráficos (que geram o visual e a física dos games) Unreal e Source que poderiam ser explorados para esse fim. A Valve, desenvolvedora do Steam, não comentou o caso.
Os links "steam://" são usados pelo programa para que páginas web possam instruir o cliente do Steam no PC a baixar e instalar jogos comprados, por exemplo. No entanto, alguns jogos permitem que uma variedade de comandos seja executada e o Steam não realiza nenhum tipo de filtragem.
No entanto, a falha é difícil de ser explorada nos principais navegadores. Internet Explorer, Chrome e Firefox exibem um aviso antes de permitir que um link "steam://" seja remetido ao software. Mas, segundo os especialistas, é possível manipular os links para que o usuário não desconfie do que está acontecendo e autorize a execução do comando.
O navegador Safari, da Apple, passou automaticamente os comandos para o Steam, sendo, portanto, mais vulnerável ao ataque.
A ReVuln, empresa que divulgou a brecha, vende informações das falhas que descobre para seus clientes. Não se sabe se a empresa possui mais informações sobre o problema que foram divulgadas apenas aos clientes que pagaram para receber dados privilegiados.
Fonte: G1
Posted in: 
