Se
ha dado a conocer una vulnerabilidad en
el cliente de Steam que podría permitir a un atacante ejecutar código
arbitrario en Valve Steam, sin que sea necesaria ninguna acción por parte del
usuario afectado, más allá de la de acceder al servicio.
Steam es una plataforma de distribución digital, gestión digital
de derechos, comunicaciones y servicios multijugador desarrollada por Valve
Corporation. Su principal uso y por lo que es más conocida es la distribución
de videojuegos. El registro en el servicio es gratuito y en la actualidad
cuenta con más de 2200 juegos disponibles y más de 50 millones de cuentas de
usuario activas. Entre los fabricantes que ofrecen sus juegos a través de Steam
se cuentan Activision, Rockstar Games, Square Enix o Sega.
El problema se
ha anunciado a través de ZDI (Zero Day Initiative), y reside en el
tratamiento de mensajes de usuario a usuario por el cliente. Un atacante podría
explotar la vulnerabilidad mediante el envío de un mensaje específicamente
construido a otro usuario Steam a través del servicio de chat que ofrece la
propia plataforma. Sin intervención
alguna del usuario afectado el atacante podría conseguir la ejecución de
código.
El problema quedó solucionado
en la actualización del 30 de octubre de 2013, que además incluye otras mejoras
y correcciones.
Más información:
Valve Steam User Chat Message Remote Code
Execution Vulnerability
Steam Client Update Released
Antonio Ropero
Twitter: @aropero
