Возможно, пока стоит воздержаться от захода в профили Steam других пользователей. Один из модераторов сабреддита Steam сообщает, что была обнаружена уязвимость, позволяющая встраивать на страницу профиля произвольный код javascript.

Визит в специально подготовленный профиль может обернуться чем угодно: в лучшем случае вам могут показать смешное текстовое сообщение, в худшем - предложат ввести авторизационные данные на фишинговой странице.

Сообщается, что уязвимость работает независимо от того, где просматривается профиль, в любом браузере или непосредственно в клиенте Steam. Пример рабочей уязвимости по понятным причинам не приводится.

Представители Valve уже уведомлены о существовании проблемы, пока участники сабреддита предлагают не открывать чужие профили в Steam, включить двухфакторную аутентификацию, внимательно проверять адреса страниц перед вводом важных данных и даже отключить javascript в браузере.

Словом, пора хорошенько окопаться. Мы сообщим, если что-то изменится.

UPD: в сабреддите Steam пишут, что уязвимость устранена. В сообщении также приводится описание уязвимости: Steam, действительно, не фильтровал пользовательский текст в одном из полей. На использование уязвимости можно взглянуть здесь.

Некоторые пользователи сервиса сообщают, что проблема все еще наблюдается в ленте активности.

Теги: Steam

Evernews

8068 подписчиков

Подписаться на автора

Подписывайтесь на WTFTime в Дзене