据外媒 softpedia 报道,早些时候 Steam 游戏平台玩家被警告:暂不要点击查看个人主页,该页面存在漏洞可被攻击者恶意利用,进行网络钓鱼、盗用 Steam 账户余额买东西套现。幸运的是,目前官方已经修补了这个漏洞。
起初,有粉丝在 reddit 论坛上提出该漏洞利用方式,这是一个基于 Steam 配置文件的注入漏洞。此漏洞影响所有浏览器的 Steam 桌面和移动版本。建议用户不要去点击他人 Steam 个人主页链接并在浏览器上禁用 JavaScript 。
当用户访问其他 Steam 用户的个人资料页面查看信息时,可被攻击者重定向至网络钓鱼登录页面,盗取账户敏感信息。此外,攻击者可进一步利用,无需用户确认即可使用 Steam 账户余额在社区内进行交易、套现资金。
Steam 粉丝在发帖的同时联系了官方客户,目前 Steam 已经修复漏洞。
from hackernews.cc.thanks for it.