Ein Sicherheitsproblem im Protokoll des Steam Browser sorgt für Aufsehen, weil es einen flexiblen Web-Angriff auf die vom Nutzer installierten Steam-Spiele erlaubt. Möglich wird dies durch die systemweite Verknüpfung von "steam://"-Adressen in einem herkömmlichen Web-Browser mit der Steam-Software. Über eine derartige Adresse können zahlreiche Funktionen gestartet werden, um schließlich durch Ausnutzung von Sicherheitslücken bei der Verarbeitungen von "steam://"-Adressen schädliche Programmanweisungen einzuschleusen und die Kontrolle über Computer und Daten zu erlangen. Besonders gefährdet sind Steam-Nutzer, die Safari als ihren Standard-Browser verwenden, da dieser nicht warnt, wenn eine Web-Adresse durch eine systembedingte Verknüpfung ein installiertes Programm startet. Neben Steam selbst muss auch die im Spiele-Netzwerk angebotene Software auf mögliche Sicherheitslücken bei der Verarbeitung von "steam://"-Adressen überprüft werden. Sicherheitsexperten von Revuln demonstrieren in einem Video bereits verschiedene Angriffe auf bekannte Titel wie Team Fortress 2 oder MicroVolts. Dabei können nicht nur Sicherheitslücken im Spiel selbst ausgenutzt werden, sondern auch in der dahinter befindlichen Spiele-Engine, sodass beispielsweise auch andere Titel mit Source Engine oder Unreal Engine gefährdet sind. Nutzer sollten daher Steam-bezogene Links im Web-Browser vorerst meiden.


Weiterführende Links:

• Revuln
• Ars Technica