Forskare: Steam-URL-protokollet kan missbrukas för att utnyttja svagheter i spelet.

Attackers kan missbruka hur webbläsare och andra applikationer hanterar ånga: // protokolladresser för att utnyttja allvarliga sårbarheter i Steam-klienten eller spel installerade via plattformen, enligt forskare från startproblematik forskning och konsultfirma ReVuln.

Steam är en populär digital distribution och digital rights management plattform för spel och sedan tidigare denna månad andra programvaruprodukter. Enligt Valve Corporation, företaget som utvecklat och driver plattformen, erbjuder Steam över 2000 titlar och har över 40 miljoner aktiva konton.

Steam-klienten kan köras på Windows, Mac OS X och Linux, även om det bara är en betaversion i det senare operativsystemet.

[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]

När Steam-klienten är installerad på ett system registrerar den sig som en ånga: // URL-protokollhanterare. Det innebär att varje gång en användare klickar på en ånga: // URL i en webbläsare eller en annan applikation, skickas URL-adressen till Steam-klienten för körning.

Ånga: // URL-adresser kan innehålla Steam Protocol-kommandon att installera eller avinstallera spel, uppdatera spel, starta spel med vissa parametrar, säkerhetskopiera filer eller utföra andra stödda åtgärder.

Attackers kan missbruka dessa kommandon för att fjärrt utnyttja sårbarheter i Steam-klienten eller Steam-spel som installerats på ett system genom att lura användare att öppna skadligt crafted steam: // URLs, ReVuln säkerhetsforskare och grundare Luigi Auriemma och Donato Ferrante sa i forskningspapper som publicerades på måndag.

Problemet är att vissa webbläsare och applikationer automatiskt skickar ånga: // URL till Steam-klienten utan att be om bekräftelse från användare, sade forskarna. Andra webbläsare begär användarbekräftelse, men visar inte alla fullständiga webbadresser eller varnar om farorna med att tillåta att sådana webbadresser exekveras.

Enligt test som utförs av ReVuln-forskare, visas varningar för Internet Explorer 9, Google Chrome och Opera och fullständig eller partiell ånga: // webbadresser innan de skickas till Steam-klienten för körning. Firefox begär också användarbekräftelse, men visar inte webbadressen och ger ingen varning, medan Safari automatiskt kör steam: // URLs utan användarbekräftelse, sa forskarna.

"Alla webbläsare som exekverar externa URL-hanterare direkt utan varningar och de som bygger på Mozilla-motorn (som Firefox och SeaMonkey) är en perfekt vektor för att utföra tysta Steam Browser Protocol-samtal ", sa forskarna. "Dessutom för webbläsare som Internet Explorer och Opera är det fortfarande möjligt att dölja den tvivelaktiga delen av webbadressen från att visas i varningsmeddelandet genom att lägga till flera mellanslag i ångan: // URL själv."

Bortsett från att lura användare manuellt klicka på rogue steam: // URLs, angripare kan använda JavaScript-kod laddad på skadliga sidor för att omdirigera webbläsare till sådana webbadresser, sade Luigi Auriemma tisdag via e-post.

Webbläsare som kräver användarbekräftelse för ånga: // Utförande av webbadressen som vanligt ge användarna ett alternativ att ändra detta beteende och få webbadresserna automatiskt att utföras av Steam-klienten, sa Auriemma. "Det är mycket möjligt att många spelare redan har ångan: // länkar som körs direkt i webbläsaren för att undvika irritationen att bekräfta dem hela tiden."

En skärmdump från videofilmer som skapats av ReVuln att visar hur attackerare kan missbruka hur webbläsare och andra program hanterar ström: // protokolladresser

Forskarna släppte en video där de visar hur ånga: // URL kan användas för att fjärrt utnyttja vissa sårbarheter som de hittat i Steam-klienten och populära spel.

Exempelvis kan Steam-protokollets "retailinstall" -kommando användas för att ladda en felformad TGA-splash-bildfil som utnyttjar en sårbarhet i Steam-klienten för att utföra skadlig kod i samband med sin process, sa forskarna.

I ett annat exempel kan en ånga: // URL användas för att utföra legitima kommandon som finns i Valve's Source-spelmotor för att kunna skriva en.bat-fil med angriparkontrollerat innehåll inne i Windows Startup-mapp. Filer som finns i Windows-startkatalogen utförs automatiskt när användarna loggar in.

Källspelsmotorn används i många populära spel, inklusive Half-Life, Counter-Strike och Team Fortress som har tiotals miljoner spelare.

En annan populär spelmotor som heter Unreal stöder laddning av filer från fjärranslutna WebDAV- eller SMB-delade kataloger via kommandoradsparametrar. En skurk ånga: // URL kan användas för att ladda en skadlig fil från en sådan plats som utnyttjar en av de många integerflödesproblemen som finns i spelmotorn för att utföra skadlig kod, säger ReVuln-forskarna.

Den automatiska uppdateringen funktion som finns i vissa spel som APB Reloaded eller MicroVolts kan också missbrukas genom ånga: // URLs för att skapa filer med attackerstyrt innehåll på disken.

För att skydda sig kan användarna inaktivera ångbadet: // URL-protokollet handler manuellt eller med en specialiserad applikation, eller kan använda en webbläsare som inte automatiskt utför ånga: // URL, sa Auriemma. "Nackdelen är att spelarna som använder dessa länkar lokalt (genvägar) eller online (webbläsare) för att ansluta sig till servrar eller använda andra funktioner i detta protokoll, kommer inte att kunna använda dem."

Eftersom Safari är en av de webbläsare som utför automatiskt ånga: // URL, användare av Mac OS X, som utgör majoriteten av webbläsarens användarbas, kan vara mer utsatta för sådana attacker. "Mac OS är den sekundära plattformen som används på Steam, och många spel är tillgängliga för den här plattformen, så den har en stor användarbas, säger Auriemma."

"Vi anser att ventilen måste ta bort överföringen av kommandoradsparametrar till spel eftersom det är för farligt och de kan inte styra hur dessa program från tredje part kan fungera med felaktiga parametrar, säger forskaren.

Valve lämnade inte omedelbart en begäran om kommentarer.

Tidigare denna månad började Valve distribuera valda icke- -spelande programvarititlar genom Steam. Sårbarheter som finns i sådana applikationer kan också utnyttjas genom ånga: // Webbadresser, säger Auriemma.

"Under de senaste månaderna har Valve investerat mycket i Steam-plattformen och lanserade beta-versionen av Steam for Linux, och tillade GreenLight-tjänsten där användarna kan rösta vilka spel de skulle vilja se tillgängliga på Steam, tillagt programvaruavsnittet, lagt till fler spel och några utmärkta spel tillgängliga för begränsad tid, massor av gratis spel att spela och mycket mer, säger forskaren. "Det fanns inget bättre ögonblick att märka dessa problem än nu."