A brecha foi descoberta por Tom Court, especialista de segurança da consultoria Context Information Security. Segundo ele, trata-se de uma falha de execução de código remota, já que os hackers podiam realizar solicitações de rede sem acessar a máquina da vítima.
Para se comunicar com o cliente, a Steam envia pacotes de UDP (Protocolo de Datagrama de Usuário), equivalente ao TCP (Protocolo de Controle de Transmissão) que costuma ser mais rápido. Court afirma que o hacker precisava apenas enviar um pacote UDP mal formado. Em seguida, o cliente da Steam se deparava com o bug, estourava os limites de memória (buffer overflow) em uma de suas bibliotecas e se tornava vulnerável aos códigos maliciosos. A Valve já havia corrigido por acaso o problema de forma parcial em julho de 2017. De acordo com Court, a Steam ganhou uma proteção ASLR, que torna mais difícil identificar em que parte da memória do dispositivo um programa está sendo executado. A melhoria complicou as atividades maliciosas, mas não as encerrou. Em fevereiro, Court deu detalhes sobre a falha à Valve, que liberou uma correção definitiva em 4 de abril. Com quase dois meses para os usuários atualizarem o programa, o especialista divulgou um relatório detalhado no site da Context. Com informações: BleepingComputer.
