A falha que havia reportado da STEAM foi corrigida hoje (21) pela equipe da VALVE.
Ontem, (20) havia postado no fórum oficial da STEAM um tópico para discussão da falha. Em menos de 10 minutos de vida, ele foi removido pela equipe de moderação, que me mandaram uma mensagem particular dizendo que já era pra eu ter sido contatado pela VALVE, o que não aconteceu.
Este moderador (que por sinal, é voluntário) encaminhou a VALVE novamente, e fui finalmente contatado pelo excelente John McCaskey, desenvolvedor.
Ele disse que a mensagem não chegou as pessoas certas. Provavelmente não souberam analisar o caso e encaminhar aos desenvolvedores responsáveis.
Ele agradeceu e listou os e-mails das pessoas que podem receber e analisar relatórios de segurança, caso tenha novas falhas a relatar futuramente.
A correção foi realizada em poucas horas. Neste momento, ela já esta corrigida.
Tal correção inclui apenas a codificação dos caracteres vindos por GET (na URL). Isso, obviamente, resolve a falha que relatei, mas como não houveram modificações no client da steam, caracteres como “<“, “>“, (aspas), =, etc. continuam podendo ser passados pelo steam protocol. Quem sabe isso não resulte em novas falhas?
Apesar da confusão de e-mails importantes não chegarem as pessoas certas, dou os parabéns à VALVE pela correção rápida.
O pessoal da packet storm security hospedou uma mirror do resumo em inglês: http://packetstormsecurity.org/0905-exploits/steam-xss.txt
Comentários? Dúvidas? Use o link de comentários ou envie um e-mail para gabriel <@> falandodeseguranca.com
Abraços a todos!
Sou Gabriel Lima, estudante de análise e desenvolvimento de sistemas, e entusiasta da segurança da informação desde criança. Criei o Falando de Segurança com a intenção de compartilhar conhecimentos da área, através de video-posts demonstrando o uso de ferramentas, discutindo cenários, notícias, etc.
...Leia mais