Un internaute a lancé une alerte sécurité concernant Steam. Il a découvert une dangereuse faille XSS persistante sur l’espace profil des membres. La correction a été rapide.
C’est une jolie vulnérabilité de type cross-site scripting (XSS) persistante qui a été découverte sur la plateforme de jeu Steam par un développeur australien dont le pseudo est Cra0kalo. Steam a rapidement corrigé le dangereux bug qui permettait entre autre d’injecter du code malveillant menant à des malwares sur les profils des joueurs.
Voila ce que donnait le profil joueur après injection d’après lui :
Cette attaque aurait pu mener à une vaste campagne de phishing (ou hameçonnage) pour pirater le compte Steam d’un joueur ou ses coordonnées bancaires, un vol de cookie ou encore à la distribution d’un malware via un code JavaScript.
Cra0kalo a développé un PoC pour prouver le danger de sa découverte maintenant corrigée.
Source : The Next Web