Steam內置瀏覽器竟然是禁用了安全沙箱功能的舊版Chromium

英文原文：Steam Uses Out-of-Date Chromium Browser With Security Feature Disabled

最新的 Steam 游戲客戶端中所使用的內置瀏覽器，竟被發現是基于未啟用沙箱模式的舊版 Chromium。由于禁用了這個關鍵的安全特性，用戶面臨著各種未打補丁前的安全風險。此前，Google Project Zero 安全研究人員 Tavis Ormandy 發現兩家反病毒軟件廠商部署了定制版本的 Chromium，而其用戶面臨著安全風險。

在他之后，研究人員們也研究起了網絡上的其它基于 Chromium 瀏覽器的項目，沒想到到 Steam 竟然也是中槍的其中一個。

GitHub 用戶 ekaris 表示，Valve 當前在 Steam 客戶端中所使用的，是已經過時了的 Chromium 版本——最新版本號是 50，但它卻仍然是 47。

盡管 Ekaris 通過 Valve 在 GitHub 上的“Steam Client fir Linux”頁面提交了反饋，但我們發現 Windows 客戶端也采用了相同的 Chromium 版本（如上圖所示），估計 Mac 客戶端也是一個樣。

盡管 v47 并沒有比 v50 落后太遠，但運行最新版本仍然是確保安全的最佳措施。然而讓事情更糟糕的是，Steam 竟然還禁用了 Chromium 中重要的沙箱功能。

Chromium 默認是啟用了這項必備功能的，但 Steam 客戶端中卻顯示“--no-sandbox”flag。

Valve 已經確認了這個 bug report，但在后續補丁出來之前，Steam 用戶還請盡量避免使用客戶端中內置的瀏覽器，以免遭遇惡意網頁或流氓廣告。

來自: cnBeta