SEGURIDAD | Noticias | 17 OCT 2012

Descubierta una vulnerabilidad de la plataforma de juegos Steam

Tags: Actualidad
Según los investigadores de la firma de análisis y consultoría de seguridad ReVuln, existe una vulnerabilidad en la plataforma de juegos Steam que podría ser explotada.
PCWORLD PROFESIONAL

Se trata del modo en el que muchos navegadores y algunas aplicaciones manejan el protocolo de URLs steam:// para introducir direcciones falsas y engañar a los usuarios. Steam es una popular plataforma digital de distribución y gestión de juegos y, desde comienzos de este mes, de otros productos de software. Según Valve Corporation, la compañía que desarrolló y opera la plataforma, Steam ofrece más de 2.000 títulos y dispone de 40 millones de cuentas activas.

El cliente Steam puede correr juegos en Windows, Mac OS X y Linux aunque solo en versión beta para este último.Cuando el cliente Steam es instalado en un sistema, se registra como steam:// gestor de protocolo URL. Esto significa que, cada vez que un usuario hace clic en la dirección URL en un navegador o en otra aplicación, la URL pasa al cliente Steam para ejecutarla.

Las URLs Steam pueden contener comandos del protocolo Steam para instalar y desinstalar juegos, actualizarlos y comenzar a jugar, con ciertos parámetros, archivos y otras acciones.

Los atacantes pueden abusar de estos comandos y explotar remotamente vulnerabilidades en el cliente Steam, o en los juegos instalados en el sistema, engañando a los usuarios para que abran direcciones falsas enmascaradas como si fueran steam://, según han identificado los expertos de ReVuln.

El problema es que algunos navegadores y aplicaciones pasan automáticamente las direcciones de este tipo al cliente Steam, sin pedir confirmación a los usuarios, aseguran los investigadores. Otros navegadores piden la confirmación del usuario, pero no muestran la URL completa ni advierten sobre los peligros de permitir que se ejecute.

Según las pruebas de esta compañía, Internet Explorer 9, Google Chrome y Opera sí muestran alertas y la dirección completa o parcial de steam://, antes de pasarlas al cliente para su ejecución. Firefox también pide la confirmación del usuario, pero no muestra la URL, ni ofrece advertencia, mientras que Safari ejecuta automáticamente las URLs sin confirmación del usuario.

“Todos los navegadores que ejecutan gestores externos de URLs directamente, sin alertas, y aquellos basados en el motor Mozilla (como Firefox y SeaMonkey) son un punto perfecto para ejecutar el protocolo de navegación Steam”.

Este motor de juegos es utilizado en muchos títulos actuales, incluyendo Half-Life, Counter-Strike o Team Fortress que cuentan con millones de jugadores.

Para protegerse de este peligro, los usuarios pueden deshabilitar manualmente el gestor de protocolo URL steam:// o utilizar una aplicación especializada o emplear un navegador que no ejecute automáticamente estas direcciones.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información