Valve ha integrado una versión personalizada del navegador web Chromium en su cliente Steam que muestra contenido web a los usuarios de Steam.
Si las últimas semanas han mostrado algo, es que las versiones personalizadas de Chromium o Chrome son un riesgo para la seguridad la mayoría de las veces.
Google analizó las implementaciones de terceros de su navegador Chromium recientemente y llegó a la conclusión de que hacían que los sistemas de los usuarios fueran menos seguros a pesar de afirmar lo contrario.
La razón principal de esto fue que las empresas deshabilitaron las funciones de seguridad del navegador Chromium o las burlaron.
Cliente Steam de Valve usos también una versión personalizada de Chromium, y resulta que esta versión también es insegura.
Chromium Embedded Framework (CEF) es una extensión del motor de renderizado del navegador Chromium, un proyecto de código abierto que es un componente de Google Chrome.
El cliente Steam en Windows y OS X usa una versión personalizada de CEF para renderizar contenido web.
Un usuario informó sus hallazgos en el repositorio oficial de Valve Software Github, indicando que la versión incorporada de Chromium estaba desactualizada y ejecutándose sin sandbox.
El navegador de cromo en Steam se basa en la versión 47, una versión vulnerable y desactualizada.
Chromium se ejecuta con –no-sandbox de forma predeterminada en Steam.
La versión más reciente de Chromium es la versión 50 actualmente, lo que significa que el navegador de cromo utilizado por Steam no está actualizado.
Google solucionó varios problemas de seguridad en estas versiones más nuevas de Chromium dejando la versión Steam del navegador vulnerable a ellos.
los salvadera, habilitado de forma predeterminada en Chromium, permite la creación de procesos de espacio aislado que se ejecutan en entornos restrictivos. El sandbox protege el sistema subyacente y los datos que contiene, entre otras cosas, de procesos maliciosos.
Los usuarios de Chrome pueden usar el parámetro –no-sandbox para deshabilitar la caja de arena en Chrome, pero al hacerlo, se eliminan sus funciones de protección y se deja el sistema abierto a los ataques.
Ambos errores han sido reconocidos por Valve y se ha asignado un usuario a cada uno de ellos. Sin embargo, aún no se incluye un hito objetivo y no hay ninguna indicación de cuándo Valve solucionará los problemas de seguridad.
Los usuarios de Steam deben considerar el uso de un navegador web externo actualizado por el momento en lugar del navegador web Steam integrado hasta que Valve solucione los problemas.
Rob Joyce, jefe de Operaciones de acceso a medida (TAO) de la NSA mencionado Recientemente, Steam es un vector de ataque popular.
