Почти десетилетие в клиентското приложение на платформата за доставка на цифрово съдържание Steam на американската компания Valve се е спотаявала уязвимост, позволяваща отдалечено стартиране на произволен код. Тя е открита от Том Корт, експерт от компанията Context Information Security. По негови думи за възползването ѝ е било достатъчно изпращане на специално създаден UDP пакет (User Datagram Protocol – транспортен пакетен протокол, предоставящ интерфейс между мрежовия протокол под него и приложните протоколи над него).
Източник на проблема е било препълване на буфера във вътрешната библиотека на Steam, отгoвaряща за обработката на UDP връзките.
Все пак, в Steam клиентите е реализирана ASLR защита (рандомизация на адресното пространство), в резултат на което опитите за възползването ѝ са довеждали до “падане” на клиента. Въпреки това обаче възползването от нея все пак е било възможно, ако по някакъв начин атакуващите успеят да разберат адреса на приложението в оперативната памет.
На 20 февруари 2018 г. информацията за бъга е предадена на Valve и на 4 април е публикувана нова версия на софтуера, в която той е елиминиран. Затова на 30 май Корт е публикувал подробен технически анализ, както и видео (долу), в което се описва процедурата по хакване на потребителския компютър.
