Sur son compte Twitter, celui qui se fait appeler Cra0kalo, développeur et animateur 3D australien, livre une démonstration de la faille découverte sur Steam.
So you can do Cross-site scripting (XSS) on Steam right now. DO NOT load anyones profile. @mikko meta http-equiv=”refresh” works this is bad pic.twitter.com/eyqODlT6Yt
— Cra0kalo (@cra0kalo) 7 février 2017
Une faille rapidement corrigée
Une faille de sécurité, appelée cross-site scripting (XSS), qui permet d’injecter du contenu sur une page web. celui-ci se déploie ensuite sur votre navigateur.
La vulnérabilité découverte par Cra0kalo permet d’introduire un malware en langage de script sur le profil d’un membre de la plateforme. Ce type d’attaque est généralement déployé pour rediriger vers du phishing (ou hameçonnage), une page chargée de logiciels malveillants, ou pour subtiliser des informations, comme les cookies.
Pour apporter la preuve de sa découverte, Cra0kalo a partagé un lien permettant de télécharger un logiciel, inoffensif lui, inséré par le développeur.
@showthread example one I made https://t.co/k7qjH1zgp0
— Cra0kalo (@cra0kalo) 7 février 2017
Steam a rapidement réagi et corrigé la faille.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.