Milióny používateľov služby Steam sú v ohrození útoku novou metódou, ktorá využíva dieru v príkazoch Steamu. Bezpečnostné výskumy ReVulnu na Malte zverejnili podrobnosti o útoku ešte z tohto týždňa.
Chyba sídli v protokole Steam prehliadača, ktorý je bežne používaný Steam Web Store pre inštalovanie, odinštalovanie, či spúšťanie Steam hier alebo ďalšie úlohy používajúce predponu „Steam://“. Navedenie používateľa na kliknutie na odkaz špeciálne formovanej Steam URL môže viesť k zraniteľnosti hier a iných funkcií Steamu. „Toto je úplne nový spôsob útoku a nejde len o jedinú hru,“ povedal spoluzakladateľ ReVulnu, Donato Ferrante.
Niektoré spôsoby útokov závisia na špecifických hrách, ktoré má užívateľ nainštalované. Jeden útok prejde cez zakódované pokyny v URL pre akúkoľvek hru založenú na Source engine, ktoré spôsobia, že hra vytvorí dávkový súbor z celého vlákna a vloží ho do cieľovej zložky (napríklad Startup). Podobné využitie existuje aj pri hrách na Unreal Engine alebo špecifických hrách ako ABP Reloaded a Microvolts. Pri týchto hrách ani nie je potrebné počkať si na spustenie, stačí ich mať nainštalované.
Nie všetci používatelia sú v ronakom stave ohrozenia týmito útokmi. Prehliadače ako Chrome alebo Internet Explorer (vážne) väčšinou upozornia, že sa chystáte otvoriť externý program a Firefox si vyžiada aj potvrdenie. Safari spustí program bez varovania a potenciálny útok nechá bez povšimnutia.
Ak používate zraniteľný prehliadač, môžete sa ochrániť tým, že v nastaveniach vypnete automatické spustenie Steam URL. Ak už používate prehliadač, ktorý varuje pred spustením externých programov, vyvarujte sa podozrivým linkom, ktoré sa pokúšajú spustiť Steam.
