La popular plataforma de videojuegos de Valve, Steam, tenía una vulnerabilidad que no se corrigió durante años, dejando a millones de usuarios vulnerables (la plataforma tiene 125 millones de usuarios). Tom Court, un investigador de seguridad, reveló los detalles del error que, según los informes, dejó vulnerables a todos los usuarios de Steam durante la última década. La buena noticia es que Valve ya solucionó el error.

“Este fue un error muy simple, relativamente fácil de explotar debido a la falta de protecciones de exploits modernas” dijo Court.

La vulnerabilidad estaba en el cliente de Steam, y los hacker podían ejecutar código malicioso en el equipo de la victima de forma remota, tomando el control total de la misma. Court dijo que el error existía en el cliente Steam por lo menos desde los últimos diez años y que habría dado lugar a la ejecución remota de código en los 15 millones de clientes activos.

“El error fue causado por la ausencia de una simple comprobación para garantizar que, para el primer paquete de un datagrama fragmentado, la longitud del paquete especificado fuera menor o igual que la longitud total del datagrama. Esto parece una simple supervisión, dado que el chequeo estaba presente para todos los paquetes subsiguientes que llevaban fragmentos del datagrama.

Sin errores de filtración de información adicional, gracias al asignador de memoria personalizado de Steam y (hasta julio pasado) sin ASLR en el binario steamclient.dll, este error podría haberse utilizado como base para un exploit altamente confiable.”

Ante esto, ahora tiene más sentido el nuevo programa que inició Valve, cuyo fin es recompensar a las personas que encuentre y reporten vulnerabilidades de todo tipo presentes en Steam.

www.solmedia.es