Una vulnerabilidad en Steam permitía a los hackers difundir malware

Una vulnerabilidad en Steam permitía a los hackers difundir malware

Cross-site scripting (XSS) es una vulnerabilidad común que puede encontrarse en las aplicaciones web. La forma en que funciona es bastante fácil de entender: El usuario luego ingresará un payload escrito en HTML en la entrada de texto de un sitio y JavaScript producirá algún tipo de comportamiento no deseado.

Esto podría ser benigno, pero también podría redirigir al usuario a un sitio web de phishing, o a la descarga de malware. La aplicación web deja de filtrar esta carga útil, obligando al navegador del usuario a renderizarla. Como resultado, la mayoría de los desarrolladores web competentes hacen el esfuerzo para mitigar este tipo de ataques. Pero es extremadamente difícil, sino imposible, mitigar contra todos ellos.

Ahora, un investigador de seguridad, apodado Cra0kalo, ha identificado una forma de introducir su propio código arbitrario en un perfil de Steam, evitando toda protección que Valve haya creado. Si bien la compañía ya resolvió el problema, durante horas estuvo expuesta a este ataque.

Al visitar la página, la modificación realizada por Cra0kalo intentaba descargar un archivo ejecutable de Windows. No había nada de qué alarmarse, ya que se trataba de un .exe bastante inofensivo. En un tweet, el desarrollador indicó que solo era una animación que hizo con VB6 cuando tenía 16 años, pero sirvió para mostrar los alcances de la falla: En manos equivocadas podría haber sido algo malicioso, como un programa de ransomware o cualquier otra variedad de virus.

Related Post

Deja un comentario

LAYOUT

SAMPLE COLOR

Please read our documentation file to know how to change colors as you want

BACKGROUND COLOR

BACKGROUND TEXTURE