Een beveiligingslek in het populaire gameplatform Steam kon aanvallers de controle over computers geven als gebruikers alleen een link zouden openen. Valve, de ontwikkelaar van Steam, heeft de kwetsbaarheid inmiddels verholpen en de onderzoeker die het probleem meldde met 7500 dollar beloond.

De kwetsbaarheid bevond zich in de manier waarop de chatfunctie van Steam met zogeheten "rich chat content" omging. De aanval die onderzoeker Thomas Shadwell ontwikkelde maakte gebruik van kwetsbaarheden in de beveiliging van de Steam-chatclient als het om deze content gaat. Zodoende kon hij toegang tot functies krijgen die normaliter zijn afgeschermd en door Steam worden gebruikt om bestanden op de computer van de gebruiker te openen.

Zo was het bijvoorbeeld mogelijk om cmd.exe aan te roepen en vervolgens kwaadaardige commando's uit te voeren, zoals het downloaden en installeren van malware. De enige vereiste was dat een gebruiker een link van de aanvaller opende. De aanvaller zou deze link naar een Steam-gebruiker kunnen sturen of op een gameforum kunnen plaatsen. De kwetsbaarheid werd op 14 september aan Valve gerapporteerd en drie weken later verholpen.

Shadwell ontving vervolgens 7500 dollar van Valve. Begin januari vroeg de onderzoeker aan Valve of zijn bugmelding openbaar mocht worden gemaakt, waar hij afgelopen maandag toestemming voor kreeg. Vorig jaar werd er ook een kwetsbaarheid in Steam verholpen waardoor een aanvaller systemen van gebruikers had kunnen overnemen. Steam heeft wereldwijd meer dan 150 miljoen gebruikers.