Valve heeft geïntegreerd een aangepaste versie van de Chromium browser in de Steam-client die wordt weergegeven web content naar Steam-gebruikers.
Als de afgelopen paar weken hebben aangetoond, is dat aangepaste Chroom of Chroom versies zijn een gevaar voor de veiligheid vaker wel dan niet.
Google geanalyseerd implementaties van derden van de Chromium browser recent, en kwam tot de conclusie dat ze gemaakt user systemen minder veilig ondanks beweren het tegenovergestelde.
De belangrijkste reden hiervoor was dat bedrijven uitgeschakeld beveiligingsfuncties van de Chromium browser, of omzeild.
Valve ‘ s Steam-client maakt gebruik van een aangepaste versie van Chromium, en het blijkt dat deze versie is ook onzeker.
Chroom Ingesloten Framework (CEF) is een uitbreiding van de Chromium browser rendering engine, een open-source project is een onderdeel van Google Chrome.
De Steam-client op Windows en OS X maakt gebruik van een aangepaste versie van het CEF voor het renderen van web content.
Een gebruiker meldde zijn bevindingen op de officiële Valve Software Github repository, waarin staat dat de ingebouwde versie van Chromium verouderd was en waarop zonder sandbox.
De chromium browser op stoom is gebaseerd op versie 47, een kwetsbare en verouderde versie.
Chroom wordt uitgevoerd met de –no-sandbox standaard op stoom.
De meest recente versie van Chromium is een versie van 50 dit moment, dat betekent dat het chromium-browser gebruikt door Stoom is verouderd.
Google vaste verscheidene veiligheids problemen in deze nieuwere versies van Chroom verlaten van de Steam-versie van de browser kwetsbaar voor hen.
De sandbox standaard ingeschakeld in Chroom, staat de creatie van sandbox processen die draaien in een beperkende omgeving. De sandbox beschermt het onderliggende systeem en de gegevens over het onder andere van kwaadaardige processen.
Chrome-gebruikers kunnen gebruik maken van de parameter –no-sandbox voor het uitschakelen van de sandbox in Chrome, maar hierdoor verwijdert u de beschermende eigenschappen en laat het systeem wijd open voor aanvallen.
Beide bugs zijn erkend door Valve en een gebruiker is toegewezen aan elk van hen. Een doel mijlpaal is nog niet vermeld, hoewel er geen indicatie wanneer de security problemen worden opgelost door het Ventiel.
Steam-gebruikers moeten overwegen het gebruik van een externe up-to-date internet browser voor het moment in plaats van de ingebouwde Stoom webbrowser totdat de problemen zijn opgelost door Valve.
Rob Joyce, hoofd van de NSA is op maat gesneden Toegangs-Operaties (TAO) onlangs gezegd dat de Stoom is een populaire aanval.
