Valve, responsável pela plataforma de distribuição e loja de jogos Steam, corrigiu uma vulnerabilidade que, segundo os especialistas que identificaram o problema, ficou dez anos no software.
A falha inédita aparentemente não havia sido descoberta nem pela Valve ou por outros especialistas em segurança. Também não há relatos de que a falha tenha sido explorada por hackers. Se explorado com sucesso, o problema poderia permitir a instalação de vírus no computador através da rede.
Para explorar a falha, um hacker precisaria ter condições de monitorar o tráfego da vítima. O cenário mais simples para isso é de uma rede Wi-Fi pública, em que o atacante e a vítima estão na mesma rede.
Observando o tráfego do Steam da vítima, o invasor poderia injetar uma conexão especial capaz de executar um vírus ou, no mínimo, travar o Steam. A falha existia porque o Steam, em um caso específico, não verificava o tamanho do pacote de dados de rede recebido.
A falha foi relatada à Valve no dia 20 de fevereiro de 2018 pela empresa de segurança Context. A atualização que corrigiu a vulnerabilidade começou a ser distribuída para todos os usuários no dia 22 de março, mas quem recebe versões “beta” do Steam já estava com a proteção 12 horas após a Context comunicar a Valve sobre o problema.
Segundo a Context, o impacto da falha ficou reduzido já em julho de 2017, quando a Valve acrescentou recursos de segurança ao Steam que atuam para minimizar as possibilidades de ataques contra o Steam.
Essas medidas servem justamente para proteger os usuários de brechas desconhecidas. Ou seja, embora a Valve não tivesse conhecimento desse problema na data, essas medidas acabaram sendo eficazes também contra ele.
Com essas medidas, a falha passou a ter apenas o impacto de travar o Steam em vez de permitir a instalação de vírus. Mesmo assim, um possível hacker poderia combinar a falha com alguma outra brecha para burlar a medida de segurança adotada pela Valve. Quando a falha foi enfim corrigida, porém, a Valve relatou o erro como um “crash” (travamento).
Brechas antigas
Não é incomum que brechas permaneçam desconhecidas por muitos anos.
As falhas Spectre e Meltdown, por exemplo, exploram um recurso que existe desde a década 90 nos processadores usados em computadores e notebooks.
No final de 2017, a Microsoft corrigiu uma brecha no Excel que foi introduzida no programa 17 anos antes .
A atualização criada para resolver o problema atraiu interesse de especialistas, pois a forma da atualização levantou a suspeita de que a Microsoft não dispunha mais do código-fonte original do componente vulnerável, que ainda está em uso em versões modernas do Office para fins de compatibilidade com arquivos antigos.
