Linux.中国 - 开源社区

 找回密码
 骑士注册

QQ登录

微博登录


Steam 内置浏览器竟然是禁用了安全沙箱功能的旧版 Chromium

据外媒报道,最新的Steam游戏客户端中所使用的内置浏览器,竟被发现是基于未启用沙箱模式的旧版Chromium。由于禁用了这个关键的安全特性,用户面临着各种未打补丁前的安全风险。

此前,Google Project Zero安全研究人员Tavis Ormandy发现两家反病毒软件厂商部署了定制版本的Chromium,而其用户面临着安全风险。在他之后,研究人员们也研究起了网络上的其它基于Chromium浏览器的项目,没想到到Steam竟然也是中枪的其中一个。

GitHub用户ekaris表示,Valve当前在Steam客户端中所使用的,是已经过时了的Chromium版本——最新版本号是50,但它却仍然是47。

尽管Ekaris通过Valve在GitHub上的“Steam Client fir Linux”页面提交了反馈,但我们发现Windows客户端也采用了相同的Chromium版本(如上图所示),估计Mac客户端也是一个样。

尽管v47并没有比v50落后太远,但运行最新版本仍然是确保安全的最佳措施。然而让事情更糟糕的是,Steam竟然还禁用了Chromium中重要的沙箱功能

Chromium默认是启用了这项必备功能的,但Steam客户端中却显示“--no-sandbox”flag。

Valve已经确认了这个bug report,但在后续补丁出来之前,Steam用户还请尽量避免使用客户端中内置的浏览器,以免遭遇恶意网页或流氓广告。

发表评论


最新评论

我也要发表评论

来自四川成都的 Chrome 48.0|GNU/Linux 用户 2016-2-11 11:49
Windows 版的 Steam 我发现也有做的不好的地方,它的一个进程每次运行一个游戏都有 UAC 提升权限要求,但是那个程序文件是没有数字签名的,再加上它的安装目录被设置 Users:Full,这几点加起来存在潜在危险性。不过好在不运行那个程序,不会影响游戏。我们平常说国内软件做的不好,其实国外软件做的也不好。最后 P.S. 一下,Windows 8.1 下载 XBOX 1 手柄驱动的方法也很糟糕,居然要先在浏览器运行个插件,要不是看在是微软自己的网站,我才不想用那种方式下载。
3 回复

热点评论

来自四川成都的 Chrome 48.0|GNU/Linux 用户 2016-2-11 11:49
Windows 版的 Steam 我发现也有做的不好的地方,它的一个进程每次运行一个游戏都有 UAC 提升权限要求,但是那个程序文件是没有数字签名的,再加上它的安装目录被设置 Users:Full,这几点加起来存在潜在危险性。不过好在不运行那个程序,不会影响游戏。我们平常说国内软件做的不好,其实国外软件做的也不好。最后 P.S. 一下,Windows 8.1 下载 XBOX 1 手柄驱动的方法也很糟糕,居然要先在浏览器运行个插件,要不是看在是微软自己的网站,我才不想用那种方式下载。
3
返回顶部

分享到微信朋友圈

打开微信,点击底部的“发现”,
使用“扫一扫”将网页分享至朋友圈。