Steam tenía una falla de seguridad de hace una década que podría permitirle a alguien tomar el control de su PC. Probablemente residía en una sección antigua de código, de acuerdo con un experto en seguridad.
Índice de contenido
Steam
A veces, las vulnerabilidades pueden perdurar durante años y años sin ser descubiertas, y un error de ejecución remota de código encontrado en Steam ha sido un gran vacío en el lado del servicio de juegos de Valve durante no menos de una década, aunque ahora ha sido parcheado.
Como informa Motherboard, Tom Court, un experto en seguridad de Context, cree que el exploit había estado presente en Steam durante al menos 10 años, y que cada usuario del servicio podría haber tenido este apalancamiento en contra de ellos durante ese período. Sin embargo, como mencionamos, la buena noticia es que el exploit ya ha sido parcheado por Valve, y de hecho esta vulnerabilidad en particular se reparó en marzo.
¿Qué tan serio fue el problema? Court describe el error como 'simple' y 'directo para explotar', preocupantemente, y la vulnerabilidad podría haber permitido potencialmente que un tercero malintencionado ejecutara código en la PC de destino que ejecutaba Steam, y posteriormente les permitiera tomar el control de la máquina. Así que sí. Fue bastante serio, entonces.
Respuesta rápida
En el lado positivo para Valve, esta vulnerabilidad se hizo más difícil de explotar en julio pasado cuando la empresa implementó una nueva medida de seguridad: ASLR (aleatorización del diseño del espacio de direcciones).
Pero todavía era un agujero potencial hasta que el Tribunal le informara el problema a Valve, y la compañía también respondió con rapidez: elogió a la firma por el hecho de que, en el plazo de ocho horas tras recibir su correo electrónico, había aplicado una versión fija de la versión beta de el cliente Steam.
Court concluye que el código en el que residía la vulnerabilidad probablemente era muy antiguo y, como resultado, los desarrolladores probablemente no habían estado cerca de él en mucho tiempo.
¿La lección? Los desarrolladores de software deberían tomarse el tiempo para revisar viejos trozos de código a la luz de los estándares de seguridad contemporáneos, buscando problemas como este que pueden haber existido durante siglos.
En términos generales, es probable que haya una gran cantidad de este tipo de defectos esparcidos por el mundo de software de PC, si tenemos en cuenta la gran cantidad de aplicaciones y servicios que hay. La preocupación es que si los desarrolladores o un investigador de seguridad de sombrero blanco no los encuentran primero, podrían ser explotados activamente contra una base de usuarios completa.
Fuente: techradar
