Recientemente se ha dado a conocer una vulnerabilidad en el cliente de Steam, con la que se podría permitir a un ciberdelincuente ejecutar código arbitrario en Valve Steam, sin que sea necesario ningún tipo de acción por parte el usuario afectado, más allá de acceder al servicio como normalmente.

Para los que no conozcan Steam, se trata de una plataforma de distribución digital, gestión digital de derechos, comunicaciones y servicios multijugador desarrollada por Valve Corporation. El principal uso que se le da a la plataforma es la de distribución de videojuegos. Registrarse en el servicio es totalmente gratis y actualmente cuenta con más de 2200 juegos disponibles y más de 50 millones de cuentas de usuario activas. De entre los fabricantes más conocidos que ofrecen sus juegos a través de Steam encontramos Rockstar Games, Activision, Sega o Square Enix.

Este problema ha sido anunciado mediante ZDI (Zero Day Initiative) y se encuentra en pleno tratamiento de mensajes de usuario a usuario por el cliente. Si un atacante quisiera, podría explotar la vulnerabilidad mediante el envío de un mensaje realizado de manera específica construido a otro usuario de Steam a través del servicio del chat que ofrece la propia plataforma. Sin intervención del usuario afectado, el atacante podría conseguir ejecutar el código.

El problema se solventó gracias a la actualización del 30 de octubre de 2013, con la que además se incluyen mejoras y correcciones.