Se ha dado a conocer una vulnerabilidad en el cliente de Steam que podría permitir a un atacante ejecutar código arbitrario en Valve Steam, sin que sea necesaria ninguna acción por parte del usuario afectado, más allá de la de acceder al servicio.

Steam es una plataforma de distribución digital, gestión digital de derechos, comunicaciones y servicios multijugador desarrollada por Valve Corporation. Su principal uso y por lo que es más conocida es la distribución de videojuegos.

El registro en el servicio es gratuito y en la actualidad cuenta con más de 2200 juegos disponibles y más de 50 millones de cuentas de usuario activas. Entre los fabricantes que ofrecen sus juegos a través de Steam se cuentan Activision, Rockstar Games, Square Enix o Sega. 

 
El problema se ha anunciado a través de ZDI (Zero Day Initiative), y reside en el tratamiento de mensajes de usuario a usuario por el cliente. Un atacante podría explotar la vulnerabilidad mediante el envío de un mensaje específicamente construido a otro usuario Steam a través del servicio de chat que ofrece la propia plataforma. Sin intervención alguna del usuario afectado el atacante podría conseguir la ejecución de código. 
 
El problema quedó solucionado en la actualización del 30 de octubre de 2013, que además incluye otras mejoras y correcciones. 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2013/11/vulnerabilidad-en-el-cliente-de-steam.html#comments
 
Más información:
 
Valve Steam User Chat Message Remote Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-13-269/
 
Steam Client Update Released
http://store.steampowered.com/news/11750/

Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar