Steam内置浏览器竟然是禁用了安全沙箱功能的旧版Chromium
英文原文:Steam Uses Out-of-Date Chromium Browser With Security Feature Disabled
最新的 Steam 游戏客户端中所使用的内置浏览器,竟被发现是基于未启用沙箱模式的旧版 Chromium。由于禁用了这个关键的安全特性,用户面临着各种未打补丁前的安全风险。此前,Google Project Zero 安全研究人员 Tavis Ormandy 发现两家反病毒软件厂商部署了定制版本的 Chromium,而其用户面临着安全风险。
在他之后,研究人员们也研究起了网络上的其它基于 Chromium 浏览器的项目,没想到到 Steam 竟然也是中枪的其中一个。
GitHub 用户 ekaris 表示,Valve 当前在 Steam 客户端中所使用的,是已经过时了的 Chromium 版本——最新版本号是 50,但它却仍然是 47。
尽管 Ekaris 通过 Valve 在 GitHub 上的“Steam Client fir Linux”页面提交了反馈,但我们发现 Windows 客户端也采用了相同的 Chromium 版本(如上图所示),估计 Mac 客户端也是一个样。
尽管 v47 并没有比 v50 落后太远,但运行最新版本仍然是确保安全的最佳措施。然而让事情更糟糕的是,Steam 竟然还禁用了 Chromium 中重要的沙箱功能。
Chromium 默认是启用了这项必备功能的,但 Steam 客户端中却显示“--no-sandbox”flag。
Valve 已经确认了这个 bug report,但在后续补丁出来之前,Steam 用户还请尽量避免使用客户端中内置的浏览器,以免遭遇恶意网页或流氓广告。
来自: cnBeta