Parliamo di Steam, la popolare piattaforma di gaming sviluppata dalla Valve Corp.

Una vulnerabilità della famiglia dei Cross Site Scripting, permetteva l’esecuzione di codice arbitrario lato client, a chiunque visualizzasse un profilo opportunamente formattato.

Questo genere di scenari possono essere utilizzati per il furto dei cookie di autenticazione ma anche per l’impianto di malware, forzando il browser a fare il download di payload arbitrari nella pagina.

Con un bacino d’utenza di centinaia di milioni di persone, di età inferiore alla quarantina, il rischio di prendere alla leggera il consiglio di non visualizzare profili sospetti era veramente troppo alto. Kudos a Valve Corp. per il tempestivo intervento.