Un fallo de seguridad ha estado poniendo en peligro a los usuarios de Steam durante 10 años

Escrito por Rubén Velasco
Seguridad

Una de las medidas de seguridad elementales para estar protegidos de todo tipo de ataques informáticos es mantener el sistema operativo y todas las aplicaciones instaladas en él siempre actualizadas a las últimas versiones de manera que la probabilidad de que piratas informáticos se aprovechen de estas vulnerabilidades sea la más baja posible. Sin embargo, esto no es efectivo al 100%, ya que en algunas ocasiones son los propios desarrolladores quienes no corrigen una vulnerabilidad, como ha ocurrido con Valve, que ha estado poniendo en peligro la seguridad de los usuarios de Steam durante nada menos que 10 años.

Tal como asegura el experto de seguridad que detectó la vulnerabilidad, este fallo de seguridad lleva presente en el cliente de escritorio de Steam desde hace 10 años, y podía permitir, con relativa facilidad, ejecutar código malicioso en cualquiera de los más de 15 millones de usuarios que tiene Steam en todo el mundo.

Este fallo de seguridad es del tipo RCE (remote code execution) y se puede explotar fácilmente a través de Internet sin que el pirata informático tenga acceso físico al ordenador de la víctima. Para ello, solo hay que generar paquetes UDP maliciosos que, cuando los procesa la aplicación de Steam en el ordenador de la víctima, ejecuta directamente el código en la memoria de la víctima.

Steam Rise of the Tomb Raider

Desde hace un año este fallo de Steam fue parcheado a medias por error. Ahora ya está solucionado al 100%

Este fallo lleva 10 años pasando desapercibido, tanto para los desarrolladores de Valve como para los investigadores de seguridad. Sin embargo, no todo es mala suerte cuando se trata de programar y lanzar actualizaciones de software, y es que, en julio de 2017, Valve implementó una nueva medida de seguridad en su cliente de escritorio, ASLR, que buscaba mejorar la seguridad global de Steam.

Sin darse cuenta, implementar esta medida de seguridad hizo que la vulnerabilidad, que era bastante peligrosa hasta entonces, se volviera irrelevante, siendo mucho más complicada de explotar.

El investigador de seguridad que descubrió este fallo de seguridad lo reportó a Valve el pasado mes de febrero, y en unas horas la compañía ya estaba probando un parche beta para solventar este problema. Con la actualización de Steam lanzada el pasado 4 de abril, Valve corregía de manera masiva este fallo de seguridad a todos los usuarios de su plataforma.

Aunque Valve no ha dado detalles sobre esta vulnerabilidad, el investigador de seguridad sí ha hecho públicos todos los detalles técnicos de esta vulnerabilidad, así como un vídeo donde se demuestra que, efectivamente, la vulnerabilidad es real y supone un grave fallo de seguridad.

Normalmente, Steam se debería haber actualizado automáticamente a todos los usuarios, por lo que lo más probable es que ya tengamos la aplicación actualizada y no tengamos de qué preocuparnos.

¿Qué opinas de que una vulnerabilidad haya estado abierta durante más de 10 años y haya pasado desapercibida?

Fuente > bleepingcomputer

Compártelo. ¡Gracias!
Continúa leyendo