• IT-Karriere:
  • Services:

Client: Sicherheitslücke in Steam zehn Jahre lang unentdeckt

Mehr als zehn Jahre lang hat Valve offenbar eine Sicherheitslücke im Client von Steam übersehen, mit der Fremdcode auf Millionen von Windows-Rechnern hätte ausgeführt werden können.

Artikel veröffentlicht am ,
Client von Steam
Client von Steam (Bild: Valve)

Der Sicherheitsforscher Tom Court hat im Blog der Sicherheitsfirma Context eine Remote Code Execution Vulnerability (RCE) auf Steam vorgestellt. Das Besondere: Die inzwischen geschlossene Lücke im Code der Windows-Version des Steam-Client hat nach seiner Auffassung mindestens zehn Jahre bestanden. Sie hätte das Ausführen von beliebigem Fremdcode ermöglicht. Allerdings wurde sie, soweit bekannt, nie ausgenutzt. Eines der Worst-Case-Szenarios wäre der Aufbau eines Botnetzes gewesen, schließlich hat Steam viele Millionen Kunden.

Stellenmarkt
  1. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Bonn
  2. Schwarz Dienstleistung KG, Raum Neckarsulm

Laut Tim Court war das Problem ab Juli 2017 nicht mehr ganz so groß, weil die Programmierer von Valve - wohl ohne von der genannten Lücke zu wissen - eine Address Space Layout Randomization (ASLR) in den Client integriert hätten. Dann hätte ein Angriff nur noch zum Absturz der Anwendung geführt, aber keine weiteren Folgen gehabt.

Valve sei am 20. Februar 2018 über das Problem informiert worden. Die Firma habe dann schnell reagiert: In weniger als zwölf Stunden sei die Lücke in der Beta-Version des Client geschlossen worden. Für die Endkunden-Version habe es am 20. März 2018 ein Update gegeben, mit der das Problem endgültig behoben wurde. Der Steam-Client wird bei so gut wie allen Nutzern automatisch aktualisiert, sodass das Problem nur noch sehr vereinzelt bestehen dürfte.

Ursache war laut Court, dass die Valve-Entwickler im Client bei einem speziellen Datenfeld keine Prüfung eingebaut hatten, die den Versuch des Eintragens zu großer Datenpakete abgefangen hätte. Stattdessen wäre es zu einem Speicherfehler gekommen, als dessen Folge der Schadcode platziert hätte werden können. Wer weitere Details wissen möchte, findet eine ausführliche Erläuterung des Problems im Blog von Court.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (u. a. 860 Evo 500 GB SSD für 74,99€, Portable T5 500 GB SSD 94,99€, Evo Select microSDXC 128...

Lemo 05. Jun 2018

Nochmal: Man kauft keine Spiele, man erwirbt nur eine Nutzungslizenz

Sabotaz 04. Jun 2018

Liest du überhaupt was du schreibst? Du hast es selbst zitiert. "Soweit bekannt"...

Crass Spektakel 04. Jun 2018

Das Popup erscheint nur wenn der Download schon abgeschlossen ist und die beim Download...

Bizzi 03. Jun 2018

Wer ist dieser Court und was für ein Blog? Redaktionelle Aufbereitung sieht anders aus.

Crone 02. Jun 2018

Grundsätzlich hast du recht, solche Angriffe sind möglich, aber das bedeutet immer...


Folgen Sie uns
       


Halo (2001) - Golem retro_

2001 feierte der Master Chief im Klassiker Halo: Kampf um die Zukunft sein Debüt. Wir blicken zurück und merken, wie groß der Einfluss des Spiels wirklich ist.

Halo (2001) - Golem retro_ Video aufrufen
Verkehr: Das Kaltstart-Dilemma der Autos mit Hybridantrieb
Verkehr
Das Kaltstart-Dilemma der Autos mit Hybridantrieb

Bei Hybridautos und Plugin-Hybriden kommt es häufiger zu Kaltstarts als bei normalen Verbrennungsmotoren - wenn der Verbrennungsmotor ausgeht und der Elektromotor das Auto durch die Stadt schiebt. Wie schnell lässt sich der Katalysator vorwärmen, damit er Abgase dennoch gut reinigen kann?
Von Rainer Klose

  1. Elektromobilität Umweltbonus gilt auch für Jahreswagen
  2. Renault City K-ZE Dacia plant City-Elektroauto
  3. Elektroautos EU-Kommission billigt höheren Umweltbonus

Akkutechnik: In Zukunft kommen Akkus mit weniger seltenen Rohstoffen aus
Akkutechnik
In Zukunft kommen Akkus mit weniger seltenen Rohstoffen aus

In unserer Artikelserie zu Akku-FAQs geht es diesmal um bessere Akkus, um mehr Akkus und um Akkus ohne seltene Rohstoffe. Den Wunderakku, der alles kann, den gibt es leider nicht. Mit Energiespeichern ohne Akku beschäftigen wir uns später in Teil 2 dieses Artikels.
Von Frank Wunderlich-Pfeiffer

  1. Elektroautos BASF baut Kathodenfabrik in Brandenburg
  2. Joint Venture Panasonic und Toyota bauen prismatische Zellen für E-Autos
  3. Elektromobilität EU-Kommission genehmigt europäisches Batterieprojekt

Leistungsschutzrecht: Drei Wörter sollen ...
Leistungsschutzrecht
Drei Wörter sollen ...

Der Vorschlag der Bundesregierung für das neue Leistungsschutzrecht stößt auf Widerstand bei den Verlegerverbänden. Überschriften mit mehr als drei Wörtern und Vorschaubilder sollen lizenzpfichtig sein. Dabei wenden die Verlage einen sehr auffälligen Argumentationstrick an.
Eine Analyse von Friedhelm Greis

  1. Leistungsschutzrecht Memes sollen nur noch 128 mal 128 Pixel groß sein
  2. Leistungsschutzrecht Französische Verlage reichen Beschwerde gegen Google ein
  3. Leistungsschutzrecht Französische Medien beschweren sich über Google

    •  /