Detectado un exploit en la aplicación de escritorio de Steam que ha estado presente lo últimos 10 años

Al igual que ocurre con muchos de los problemas y exploit que son detectados en las diferentes aplicaciones, en esta ocasión ha sido un investigador perteneciente a la firma de seguridad Context, hablamos concretamente de Tom Court, el que acaba de publicar oficialmente una serie de documentos donde demuestra la existencia de pequeño problema que ha sido encontrado en el software del cliente de escritorio de Steam, mismo que ha estado presente, aunque no te lo puedas creer, durante los últimos 10 años.

Cocretamente hablamos de una vulnerabilidad que, a pesar de lo que puedas haber leído por ahí, ya que hay sitios donde parece que se está suavizando el problema, cualquier hacker con conocimientos suficientes, de conseguir explotarlo podría llegar incluso a tomar el control de cualquier ordenador que tuviese ese cliente instalado. Lo peor de todo este asunto es que, a pesar de que el exploit ha estado presente en la aplicación durante los últimos 10 años, aparecer ninguna persona con conocimientos suficientes para poder hacer daño a un usuario ha conseguido descubrir la vulnerabilidad.

Tom Court ha sido el experto en seguridad capaz de encontrar una de las peores vulnerabilidades del cliente de ordenador de Steam

Entrando un poco más en detalle y según ha comentado el propio Tom Court, hablamos de un problema con la seguridad de la aplicación muy simple y, sobre todo y quizá este haya sido el mayor riesgo, muy fácil de utilizar por cualquier hacker. Para hacernos una idea, comentarte que el principal problema con el software de Steam que ha estado instalado en más de 15 millones de ordenadores durante los últimos diez años es que carecía de protección contra los nuevos desarrollos de exploits.

Según ha comentado el propio Tom Court, al parecer, gracias a esta vulnerabilidad, cualquier hacker podría haber llegado a conseguir tomar el control de cualquier ordenador, dejando completamente al descubierto toda la información de su propietario o usuario, incluidas las credenciales del sistema y otros servicios. Lo mejor de toda esta noticia es que, por una vez y quizá debido a la sencillez de este exploits, no existen indicios de que ningún hacker haya aprovechado este terrible fallo de seguridad.

Hemos tenido que esperar hasta 2018 para que Valve haya conseguido solucionar este problema de seguridad en Steam

Toda esta información ha salido a la luz después de que Valve, previsiblemente solucionase parte parte de este problema en julio de 2017, concretamente, al parecer, se eliminó la parte más peligrosa de la vulnerabilidad. Después de esta actualización curiosamente el software seguía presentando un fallo, aunque de menor alcance ya que este tan sólo provocaba el colapso del cliente y el hacker tan sólo podía implementar código malicioso de forma remota en la máquina de la víctima. De hecho y para demostrar este fallo, el propio Tom Court realizó un vídeo, lo tienes justo al inicio de la entrada extendida, donde él mismo lanza la aplicación de calculadora de forma remota aprovechando este fallo.

Como suele ocurrir, Tom Court informó a Valve de este fallo y, desde que fuese descubierto, ha estado sin revisar hasta el pasado 20 de febrero de este mismo año 2018, fecha en la que la versión beta del cliente solucionaba esta vulnerabilidad. El pasado 22 de marzo esta versión dejó de ser beta y finalmente llegó a todos los usuarios. Como detalle, comentarte que en las notas de la versión se puede encontrar una línea donde se le dan las gracias al propio Tom Court.

Al menos y en esta ocasión, a pesar de que haya pasado demasiado tiempo desde que se detectó la vulnerabilidad hasta que finalmente ha sido resuelta, lo cierto es que Valve en todo momento prestó atención a los comentarios de Tom Court y ha colaborado con él para conseguir subsanar el fallo, algo que contrasta con las medidas presentadas por otro tipo de empresas donde no se suele prestar atención a este tipo de contactos.

Más información: Context

¿Buscas un móvil o smartwatch?
Tanto si buscas móvil nuevo o un smartwatch, no te pierdas estas ofertas. Podrás escoger tu móvil según el precio, marca o tamaño de su pantalla.

Móviles libres de ofertaSmartwatches


Categorías

Software

Profesional de la informática aunque amante del mundo de la tecnología en general y la robótica en particular, pasión que me lleva a investigar e indagar por toda la red en busca de cualquier tipo de novedad, estudio o proyecto.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.