Steam utiliza un navegador Chromium desactualizado y que tiene desactivadas opciones de seguridad. El navegador incrustado en Steam funciona en modo no-sandbox. La última versión del cliente de juegos Steam está utilizando un navegador web desactualizado que pone a los usuarios bajo riesgo debido a las vulnerabilidades sin corregir de esta versión, y además tiene desactivada una opción de seguridad clave. Después de que el investigador de seguridad de Google Project Zero Tavis Ormandy mostrase que dos compañías de antivirus estaban utilizando versiones de Chromium que exponían a riesgos a sus propios usuarios, otros investigadores de todo internet comenzaron a buscar otros proyectos en los que se utilizase el navegador Chromium. Uno de esos proyectos es el cliente de Steam, que también utiliza una versión simplificada del navegador Chromium para hacer funcionar el navegador web de su programa, que se muestra incrustado en la pantalla de Steam, dentro de su interfaz.

SteamSteam no está utilizando la última versión de Chromium

Según el usuario de GitHub Ekaris, Valve está utilizando en estos momentos una versión desactualizada de Chromium dentro de su cliente de Steam. La versión de Chromium más reciente es la v50, pero Steam está usando la versión v47Ekaris informó del problema a través de la página de GitHub del cliente de Steam para Linux de Valve, pero hemos probado el cliente de Windows y hemos descubierto que emplea la misma versión de Chromium, y sin duda, el cliente de Mac tendrá el mismo problema. Aunque la versión de Chromium 47 no está tan lejos de la Versión 50, es muy importante ejecutar siempre la versión más reciente de cada programa porque sólo así los usuarios estarán protegidos de los últimos agujeros de seguridad descubiertos en pruebas de las compañías o por culpa de ataques reales.

Steam tiene desactivada una de las opciones de seguridad de Chromium más importantes

Pero por si las cosas no fuesen lo suficientemente malas todavía, el mismo Ekaris también ha descubierto que Steam está ejecutando su navegador de Chromium con el añadido –no-sandboxPor defecto, Chromium se ejecuta con esta opción activada como medida de seguridad, que está orientada a proteger a los usuarios de varios exploits de seguridad que podrían sacarlos de la página web en su sistema operativo. Valve ha reconocido los informes de bugs, pero los usuarios de Steam deberían dejar de usar el navegador del cliente al menos por el futuro cercano, sólo por si acaso tuviesen la mala suerte de ir a parar en una página web maliciosa o malvertising antes de que Steam solucione el problema.

Steam¿Por qué la gente tiene que tocar las opciones de seguridad de Chromium?

Este problema es muy parecido al que descubrió Mr. Ormandy en el navegador web de Chromodo que se encuentra en los productos de Comodo, que tienen desactivada la característica SOP (Same Origin Policy), otra opción de seguridad clave que protege a los usuarios de los ataques CSRF. Unos pocos días después, el mismo investigador descubrió que el navegador web de SafeZone (Avastium) que también se encuentra instalado obligatoriamente en todos los PCs donde hay una versión de pago del antivirus Avast también tenía desactivada otra opción de seguridad clave que permitía que sólo las URLs seguras se ejecutasen a través de la línea de comandos de Chromium.

Este problema ha permitido que los atacantes y los hackers puedan obtener acceso a un archivo de usuarios si éstos tenían el navegador de SafeZone instalado. El usuario no tenía por qué tener abierto dicho navegador, ya que el enlace malicioso se podía abrir desde cualquier otro navegador y haría que el exploit se activase en el navegador de SafeZone gracias a un puerto RPC abierto. Aunque olvidarse de actualizar la distribución de Chromium en Steam parece más un desliz que otra cosa, activar el modo –no-sandbox muestra el mismo nivel de ineptitud que ya han mostrado los chicos de Comodo y Avast y es algo que requiere más que una explicación.

Una posible respuesta que podríamos recibir nos viene después de unas cuantas búsquedas en Google, que revelan que la mayoría de usuarios que utilizan el modo –no-sandbox lo hacen para mejorar el rendimiento del navegador, algo que puede ser de relevancia para Valve.