Steam: Scoperta e corretta una grave vulnerabilità rimasta aperta per ben 10 anni.


Sembra proprio che negli ultimi 10 anni i computer di decine di milioni di videogiocatori sono stati a rischio a causa di un bug presente all'interno di Steam, popolare piattaforma di Valve per la distribuzione digitali di giochi. In pratica tale scoperta si deve a Tom Court, un ricercatore di sicurezza che è, appunto, riuscito a scovare la falla in questione e l'ha subito segnalata a Valve, la quale fortunatamente è intervenuta prontamente ed ha rilasciato una versione corretta lo scorso Aprile ed ha ringraziato il ricercatore nelle note di rilascio, senza però spiegare che quella appena chiusa era una delle falle più grandi mai lasciate in un software. In sostanza senza entrare troppo nei dettagli, sfruttando questo errore di programmazione e conoscendo l'indirizzo IP della vittima un potenziale malintenzionato avrebbe potuto eseguire senza troppa difficoltà assumere il controllo del Pc da remoto ed eseguire codice di ogni tipo. Difatti Tom Court in un breve video, (visibile a fine articolo), ha mostrato chiaramente come, grazie ad un semplice script Python, gli è stato possibile lanciare la calcolatrice in Windows 10 sfruttando proprio la vulnerabilità della precedente versione di Steam. Tra l'altro, sempre secondo quanto ha spiegato il ricercatore, con pochi passaggi era possibile prendere il controllo completo del computer, scaricare e caricare file ed accedere a ogni cartella e file, incluse eventuali password. Ad ogni modo si tratta di un tipo di falla non tanto rara e tanto grave quanto il fatto che sia rimasta aperta per ben 10 anni rendendo vulnerabili milioni di computer. Comunque sia va detto che, nonostante l'azienda abbia rilasciato degli aggiornamenti nel Luglio 2017 che avevano reso più difficile, (ma non impossibile), lo sfruttamento dell'exploit, ufficialmente il bug in questione non era noto prima e quindi una piccola nota di merito andrebbe, infine, anche alla stessa Valve per averlo corretto in tempi abbastanza brevi.

Di seguito il suddetto video:

Commenti