Ernstig lek in Steam gedicht

Gameplatform Steam heeft een behoorlijk ernstig veiligheidslek gedicht. Onderzoekers Vinnie Vanhoecke en André Baptista kwamen tot de ontdekking dat via de serverbrowser van Steam vrij makkelijk allerhande kwalijke zaken uitgevoerd konden worden.

Het komt erop neer dat een aanvaller via een zogenaamde buffer overflow in staat zou zijn om willekeurige code uit te voeren op de computer van een willekeurige Steamgebruiker. Dat gebeurde via de in Steam ingebouwde browser en er was verder weinig interactie van de gebruiker voor nodig.

Het resultaat kon zijn dat een aanvaller malware kon installeren, bestanden kon stelen of accounts over kon nemen, met alle gevolgen van dien. Op 21 december meldde het duo hun bevindingen aan Steam-ontwikkelaar Valve, wat twee maanden later met een beveiligingsupdate kwam.

De heren hebben 15.000 dollar beloning ontvangen voor het melden van het lek, plus nog eens 3.000 dollar vanwege de hoge kwaliteit van de melding. Mocht je interesse hebben in hoe de hack achter de schermen tot in detail werkte, hier* staat het knappe staaltje werk gepubliceerd.

*Let op: niet elk antivirusprogramma lijkt de link naar HackerOne - waar bedrijven en hackers die een lek ontdekken elkaar vinden - even leuk te vinden, klikken is dan ook op eigen risico.