Steam — популярная платформа дистрибуции игр и управления цифровыми правами, на которой с нынешнего месяца появились и «серьезные» программные продукты. Клиент системы работает в Windows, Mac OS X и Linux. При установке он регистрирует себя как обработчик URL-протокола steam://. Steam-адреса могут содержать команды установки, деинсталляции, обновления и запуска игр, а также другие.

Как отмечают исследователи, браузер Safari автоматически «молча» передает stream-адреса клиенту, а Firefox (и любые браузеры на его движке) просит подтверждения, но не показывает сам URL. В IE и Opera же, считают эксперты, можно скрыть вредоносную часть URL с помощью пробелов.

Опубликовано видео, где показано, как путем передачи steam-адресов можно использовать уязвимости, обнаруженные исследователями в клиенте Steam и ряде популярных игр. Например, одна из брешей позволяет запустить произвольный код в контексте процесса Steam. Другая дает возможность командами игрового движка Valve Source создать посторонний .bat-файл в папке автозапуска Windows.