Falha de segurança ficou 10 anos no Steam sem ser detectada imprimir publicado em: 03 / 06 / 2018

steamA Valve, responsável pela plataforma de distribuição e loja de jogos Steam, corrigiu uma vulnerabilidade que, segundo os especialistas que identificaram o problema, ficou dez anos no software. A falha inédita aparentemente não havia sido descoberta nem pela Valve ou por outros especialistas em segurança. Também não há relatos de que a falha tenha sido explorada por hackers. Se explorado com sucesso, o problema poderia permitir a instalação de vírus no computador através da rede.

Para explorar a falha, um hacker precisaria ter condições de monitorar o tráfego da vítima. O cenário mais simples para isso é de uma rede Wi-Fi pública, em que o atacante e a vítima estão na mesma rede. Observando o tráfego do Steam da vítima, o invasor poderia injetar uma conexão especial capaz de executar um vírus ou, no mínimo, travar o Steam. A falha existia porque o Steam, em um caso específico, não verificava o tamanho do pacote de dados de rede recebido.

A falha foi relatada à Valve no dia 20 de fevereiro de 2018 pela empresa de segurança Context. A atualização que corrigiu a vulnerabilidade começou a ser distribuída para todos os usuários no dia 22 de março, mas quem recebe versões “beta” do Steam já estava com a proteção 12 horas após a Context comunicar a Valve sobre o problema.

Segundo a Context, o impacto da falha ficou reduzido já em julho de 2017, quando a Valve acrescentou recursos de segurança ao Steam que atuam para minimizar as possibilidades de ataques contra o Steam. Essas medidas servem justamente para proteger os usuários de brechas desconhecidas. Ou seja, embora a Valve não tivesse conhecimento desse problema na data, essas medidas acabaram sendo eficazes também contra ele.

Com essas medidas, a falha passou a ter apenas o impacto de travar o Steam em vez de permitir a instalação de vírus. Mesmo assim, um possível hacker poderia combinar a falha com alguma outra brecha para burlar a medida de segurança adotada pela Valve. Quando a falha foi enfim corrigida, porém, a Valve relatou o erro como um “crash” (travamento).

Brechas antigas

Não é incomum que brechas permaneçam desconhecidas por muitos anos.

As falhas Spectre e Meltdown, por exemplo, exploram um recurso que existe desde a década 90 nos processadores usados em computadores e notebooks.

No final de 2017, a Microsoft corrigiu uma brecha no Excel que foi introduzida no programa 17 anos antes. A atualização criada para resolver o problema atraiu interesse de especialistas, pois a forma da atualização levantou a suspeita de que a Microsoft não dispunha mais do código-fonte original do componente vulnerável, que ainda está em uso em versões modernas do Office para fins de compatibilidade com arquivos antigos.

G1

PARTICIPE

PUBLICIDADE

REDE SOCIAl

PUBLICIDADE

    Physio II

últimas