Deze kwetsbaarheid kwam eerder deze week aan het licht na de publicatie van de pdf Steam Browser Protocol Insecurity (when local bugs go remote) door de beveiligingsonderzoekers van ReVuln, een bedrijf dat is gevestigd op Malta. De kwetsbaarheid zit in het Steam Browser protocol. Deze wordt onder andere door websites als de Steam Web Store gebruikt om games te installeren, starten en deïnstalleren met url's die beginnen met “Steam://”. Door een gebruiker op een speciale Steam-url te laten klikken, kan een hacker een buffer overflow bug en andere kwetsbaarheden misbruiken in verschillende Steam games en in Steam zelf. Zo kan de hacker schadelijke code op de computer van het slachtoffer zetten.

Dit probleem doet zich niet voor in een enkele game, maar geldt voor alle games die gebruikmaken van Steam. Deze games delen namelijk dezelfde game-engine. Zodra een van de engines een lek vertoont, dan kunnen hackers het Steam protocol gebruiken om deze te exploiteren. Bijvoorbeeld een Steam url kan code bevatten die een “herinstallatie” uitvoert die tijdens de “installatie” een afbeelding laat zien die wordt gehost op een willekeurige online drive van de hacker. Door een integer overflow bug waarmee Steam deze afbeelding oproept, kan de hacker zijn schadelijke code in het geheugen van de computer van het slachtoffer laden.

Andere weeffouten kunnen volgens het rapport van ReVuln alleen worden misbruikt als gebruikers bepaalde Steam games hebben geïnstalleerd. Hierbij behoren games die gebruikmaken van de Unreal Engine, en games als APB Reloaded en Microvolts. Het is daarbij geen noodzaak dat de betreffende games ook zijn opgestart. Alleen al door de games te installeren maakt de computer van de gebruiker kwetsbaar voor aanvallen van buitenaf via een url.

Niet alle browsers zijn even kwetsbaar voor de aanval. Chrome en Internet Explorer geven de gebruiker eerst een waarschuwing dat zij een extern programma openen zodra zij op een Steam-link klikken, tenminste, mits de gebruiker deze waarschuwing niet heeft uitgeschakeld. En Firefox vraagt de gebruiker alleen om een bevestiging, zonder te waarschuwen. Browsers als Safari van Apple en Webkit staan echter gewoon toe dat Steam-url's programma's kunnen opstarten zonder waarschuwing vooraf. Daarbij merkt het slachtoffer helemaal niets van de aanval.

Als je gebruikmaakt van Steam, dan kun je de computer via de instellingen minder kwetsbaar maken voor dergelijke aanvallen. Dit werkt door het automatisch uitvoeren van url's die beginnen met “Steam://” uit te schakelen. En mocht je browser al waarschuwen dat een extern programma wordt geopend, check dan verdachte links die Steam proberen op te starten.