Ci risiamo! Dopo avervi parlato di Spectre e Meltdown riferendoci alle CPU Intel, al pericolo malware che ha colpito gli iPhone, alla falla 0-day scovata su Google Chrome e poi anche su Windows, per non parlare della nuova vulnerabilità Spoiler scovata nelle CPU Intel, torniamo sull’argomento comunicandovi che Steam, il più grande negozio digitale di giochi per PC, ha convissuto con una grossa falla di sicurezza che ha potenzialmente permesso ai black hat di infettare i PC con dei malware.

Scoperta grossa vulnerabilità di Steam che ha permesso ai black hat di infettare Windows, macOS e Linux 1

I ricercatori di sicurezza che hanno scoperto la falla sono stati solo in grado di sfruttarla per prendere il controllo di un PC solo sul client di Steam per Windows. Hanno inoltre affermato che il bug era presente anche in Steam per Linux e macOS di Apple, anche se non sono stati in grado di sfruttarlo con successo su quei sistemi.

Un hacker può sfruttare con successo la falla e infettare una vittima con una probabilità 0,2% che, pur sembrando piccola, è più che sufficiente se consideriamo l’eventualità che un hacker che distribuisce questo exploit in maniera massiccia a tutti gli utenti di Steam. In media si tratta di una vittima su 512 tentativi” – hanno riferito i ricercatori.

A peggiorare le cose, è stato possibile combinare questa vulnerabilità con delle altre per rendere il vettore di attacco ancora più efficiente. “Questa vulnerabilità può essere incatenata con un’altra vulnerabilità legata alla perdita di memoria per renderla affidabile al 100%“, hanno aggiunto i ricercatori.

5 Peggiori malware Italia 2018

Per testare questa ipotesi, i ricercatori hanno intenzionalmente creato il proprio server malevolo.

Un utente malintenzionato può eseguire codice arbitrario sul computer di qualsiasi utente Steam che visualizza le informazioni sul server del nostro server malevolo“, hanno scritto. “Da lì in poi, un utente malintenzionato potrebbe fare qualunque cosa desideri“. Tra le altre cose, la falla ha permesso di sottrarre le informazioni degli account, rubare articoli di gioco e persino installare malware aggiuntivo.

La falla di sicurezza non è stata scoperta in questi giorni ma diverso tempo fa. Tuttavia, sono stati dati a Valve 90 giorni di tempo per rilasciare una patch prima di rendere pubblica la storia. A seguito di questa notizia, Valve ha confermato che la falla è stata corretta su Windows, OS X e Linux.