Un bug en Steam que permite ejecutar código de manera remota estuvo presente en el código durante diez años.
Steam es la plataforma de juegos más popular de PC, atrayendo a más de 15 millones de usuarios simultáneos en determinadas horas del día; poco a poco su cliente se está convirtiendo en imprescindible cada vez que instalamos un nuevo ordenador.
Es importante tener esto en cuenta cuando se descubren bugs de seguridad de Steam: la inmensa cantidad de gente potencialmente afectada. Y durante los últimos diez años, estos usuarios tuvieron básicamente una puerta abierta en sus sistemas.
Así lo ha revelado Tom Court, un investigador de la compañía de seguridad Context, que ha publicado un exploit descubierto en el cliente de Steam; un bug que haría ejecutar código de manera remota conectándose al cliente de Steam. Por lo tanto, un atacante podría aprovecharlo para ejecutar malware u otros programas que obtuviesen nuestra información o directamente tomasen control de nuestro ordenador.
Lo peor es que, en palabras de Court, este es un bug muy simple; el único motivo por el que es tan fácil de aprovechar es porque Valve no implementó protecciones modernas contra exploits.
Este parece ser un síntoma de lo viejo que es ya el código de Steam; el cliente apenas ha cambiado en todos estos años, aparte de algunas diferencias estéticas y añadidos como el modo Big Picture para televisores. El protocolo que usa Steam, en concreto, no ha cambiado de manera significativa desde 2008. Durante mucho tiempo se ha rumoreado una revisión completa de Steam, pero nunca ha llegado.
Valve parcheó parcialmente este bug el pasado julio de 2017, pero este seguía presente en el código; lo único que hizo Valve fue compilar el código con protecciones contra exploits.
Por lo tanto, un atacante podía seguir aprovechando el bug, pero lo único que conseguiría sería bloquear el programa. Sin embargo, si el atacante tuviese acceso a otra vulnerabilidad, podría ser usada en conjunción con este bug para seguir ejecutando código de manera remota.
Finalmente, el pasado 22 de marzo Valve solucionó el bug, después de que Court les avisase en febrero. Por lo tanto, no tienes que hacer nada: Steam se actualiza automáticamente. Si por alguna razón no has dejado que Steam se actualice sde marzo, lo recomendable es que lo permitas cuanto antes.