La valvola è stata integrata una versione personalizzata del browser web Chromium nel suo client di Steam che consente di visualizzare contenuti web per gli utenti di Steam.
Se il passato paio di settimane hanno dimostrato qualcosa, è che l’abitudine di Cromo o di Cromo versioni sono un rischio per la sicurezza, più spesso di quanto non.
Google analizzato le implementazioni di terze parti del suo browser Chromium di recente, e sono arrivato alla conclusione che hanno realizzato sistemi di utente meno sicura, pur affermando il contrario.
La ragione principale di questo è che le aziende hanno disattivato le funzioni di sicurezza del browser Chromium, o aggirati.
Valve Steam client utilizza una versione personalizzata di Cromo, e si scopre che questa versione è anche insicuro.
Cromo Embedded Framework (CEF) è un’estensione del browser Chromium motore di rendering, un progetto open-source che è un componente di Google Chrome.
Il client di Steam su Windows e OS X utilizza una versione personalizzata del CEF per il rendering dei contenuti web.
Un utente ha segnalato i suoi risultati sul sito ufficiale di Valve Software repository Github, affermando che la versione integrata di Cromo è stato superato e l’esecuzione senza sandbox.
Il browser chromium su steam è basata sulla versione 47, vulnerabile e versione di data.
Il cromo viene eseguito con l’opzione –no-sandbox per impostazione predefinita su steam.
L’ultima versione di Chromium è la versione 50 attualmente, il che significa che il browser chromium utilizzato da Steam non è aggiornato.
Google risolti diversi problemi di sicurezza in queste nuove versioni di Chromium, lasciando che il Vapore versione del browser vulnerabili.
La sandbox, abilitata per impostazione predefinita in Cromo, permette la creazione di sandbox processi che girano restrittive ambienti. La sandbox è il sistema di base e dati su di esso, tra le altre cose da processi dannosi.
Gli utenti di Chrome può usare il parametro –no-sandbox per disattivare la sandbox di Chrome, ma così facendo si toglie le sue caratteristiche di protezione e lascia il sistema spalancata per gli attacchi.
Entrambi i bug sono stati riconosciuti dalla Valvola, e che un utente è stato assegnato a ciascuno di essi. Una pietra miliare obiettivo non è presente ancora anche se non vi è alcuna indicazione quando i problemi di sicurezza sarà fissato dalla Valvola.
Gli utenti di Steam dovrebbe considerare l’utilizzo di un esterno fino a data browser web, per il momento, invece di Vapore incorporata web browser fino a quando i problemi vengono risolti da parte di Valve.
Rob Joyce, il capo della NSA Tailored Access Operations (TAO) detto di recente che il Vapore è un popolare vettore di attacco.
