Steam使用不安全的,过时的Chromium浏览器
- 类别: 游戏类
Valve在其Steam客户端中集成了Chromium Web浏览器的自定义版本,该版本可向Steam用户显示Web内容。
如果过去几周未显示任何内容,则说明自定义Chromium或Chrome版本经常会带来安全风险。
谷歌分析 Chromium浏览器的第三方实现方式最近得出的结论是,尽管声称相反,但它们使用户系统的安全性降低了。
造成这种情况的主要原因是公司禁用或绕开了Chromium浏览器的安全功能。
阀门的Steam客户 用途 也是Chromium的自定义版本,事实证明该版本也不安全。
Chromium嵌入式框架(CEF)是Chromium浏览器渲染引擎的扩展,该引擎是一个开放源代码项目,是Google Chrome的一个组成部分。
Windows和OS X上的Steam客户端使用CEF的自定义版本来呈现Web内容。
一个用户 已报告 他的发现 在官方Valve Software Github存储库上显示,Chromium的内置版本已过时且没有沙箱即可运行。
Steam上的铬浏览器基于版本47,该版本易受攻击且已过时。
Chromium默认在Steam上使用--no-sandbox运行。
Chromium的最新版本当前是50版本,这意味着Steam使用的铬浏览器已过期。
Google修复了这些较新版本的Chromium中的一些安全问题,使浏览器的Steam版本容易受到攻击。
的 沙盒 ,在Chromium中默认启用,允许创建在受限环境中运行的沙盒流程。沙箱可保护基础系统和其中的数据免受恶意进程的攻击。
Chrome用户可以使用参数--no-sandbox禁用Chrome中的沙箱,但这样做会删除其保护功能,并使系统对攻击开放。
Valve已识别出两个错误,并已为每个错误分配了一个用户。虽然尚未列出目标里程碑,并且没有指示何时由Valve解决安全问题。
在Valve解决问题之前,Steam用户应暂时考虑使用外部最新的Web浏览器而不是内置的Steam Web浏览器。
NSA量身定制的访问运营(TAO)负责人Rob Joyce 提到 最近,Steam是一种流行的攻击媒介。
