Valve corrige falha que afetava todas as versões da Steam lançadas nos últimos dez anos
Uma falha de segurança dentro do cliente da Steam presente em todos as versões lançadas nos últimos dez anos foi finalmente corrigida pela Valve. Ela permitia que cibercriminosos executassem códigos maliciosos capazes de afetar os mais de 15 milhões de usuários da plataforma.
A brecha foi descoberta por Tom Court, especialista de segurança da consultoria Context Information Security. Segundo ele, trata-se de uma falha de execução de código remota, já que os hackers podiam realizar solicitações de rede sem acessar a máquina da vítima.
Para se comunicar com o cliente, a Steam envia pacotes de UDP (Protocolo de Datagrama de Usuário), equivalente ao TCP (Protocolo de Controle de Transmissão) que costuma ser mais rápido. Court afirma que o hacker precisava apenas enviar um pacote UDP mal formado.
Em seguida, o cliente da Steam se deparava com o bug, estourava os limites de memória (buffer overflow) em uma de suas bibliotecas e se tornava vulnerável aos códigos maliciosos.
A Valve já havia corrigido por acaso o problema de forma parcial em julho de 2017. De acordo com Court, a Steam ganhou uma proteção ASLR, que torna mais difícil identificar em que parte da memória do dispositivo um programa está sendo executado.
A melhoria complicou as atividades maliciosas, mas não as encerrou. Em fevereiro, Court deu detalhes sobre a falha à Valve, que liberou uma correção definitiva em 4 de abril. Com quase dois meses para os usuários atualizarem o programa, o especialista divulgou um relatório detalhado no site da Context.
Com informações: BleepingComputer.
![Como usar o Steam Link App? [Android, iOS, Apple TV, etc.]](https://files.tecnoblog.net/wp-content/uploads/2020/02/steam-link-001-340x191.jpg)
