Abo
  • IT-Karriere:

Client: Sicherheitslücke in Steam zehn Jahre lang unentdeckt

Mehr als zehn Jahre lang hat Valve offenbar eine Sicherheitslücke im Client von Steam übersehen, mit der Fremdcode auf Millionen von Windows-Rechnern hätte ausgeführt werden können.

Artikel veröffentlicht am ,
Client von Steam
Client von Steam (Bild: Valve)

Der Sicherheitsforscher Tom Court hat im Blog der Sicherheitsfirma Context eine Remote Code Execution Vulnerability (RCE) auf Steam vorgestellt. Das Besondere: Die inzwischen geschlossene Lücke im Code der Windows-Version des Steam-Client hat nach seiner Auffassung mindestens zehn Jahre bestanden. Sie hätte das Ausführen von beliebigem Fremdcode ermöglicht. Allerdings wurde sie, soweit bekannt, nie ausgenutzt. Eines der Worst-Case-Szenarios wäre der Aufbau eines Botnetzes gewesen, schließlich hat Steam viele Millionen Kunden.

Stellenmarkt
  1. Phoenix Contact Identification GmbH, Villingen-Schwenningen
  2. Seefelder GmbH, Nürtingen

Laut Tim Court war das Problem ab Juli 2017 nicht mehr ganz so groß, weil die Programmierer von Valve - wohl ohne von der genannten Lücke zu wissen - eine Address Space Layout Randomization (ASLR) in den Client integriert hätten. Dann hätte ein Angriff nur noch zum Absturz der Anwendung geführt, aber keine weiteren Folgen gehabt.

Valve sei am 20. Februar 2018 über das Problem informiert worden. Die Firma habe dann schnell reagiert: In weniger als zwölf Stunden sei die Lücke in der Beta-Version des Client geschlossen worden. Für die Endkunden-Version habe es am 20. März 2018 ein Update gegeben, mit der das Problem endgültig behoben wurde. Der Steam-Client wird bei so gut wie allen Nutzern automatisch aktualisiert, sodass das Problem nur noch sehr vereinzelt bestehen dürfte.

Ursache war laut Court, dass die Valve-Entwickler im Client bei einem speziellen Datenfeld keine Prüfung eingebaut hatten, die den Versuch des Eintragens zu großer Datenpakete abgefangen hätte. Stattdessen wäre es zu einem Speicherfehler gekommen, als dessen Folge der Schadcode platziert hätte werden können. Wer weitere Details wissen möchte, findet eine ausführliche Erläuterung des Problems im Blog von Court.

Zu den Kommentaren springen
Meistgelesen
  1. Raumfahrt
    Galileo-Satellitennavigation ist vollständig ausgefallen
  2. Elektroauto-Sounddesign
    Und der Benz macht leise "wuuuuh"
  3. Super Mario Maker 2
    Nintendos mysteriöser Zwist mit einem Baumeister
  4. Zugang per Venenscan
    Wenn das Freibad zum Hochsicherheitstrakt wird
  5. Razer Blade 15 Advanced im Test
    Treffen der Generationen
Anzeige
Spiele-Angebote
  1. (-80%) 1,99€
  2. 3,74€
  3. (-77%) 11,50€
  4. 26,99€
Kommentarübersicht
Re: Das Problem mit Steam
Lemo 05. Jun 2018

Nochmal: Man kauft keine Spiele, man erwirbt nur eine Nutzungslizenz

Re: Nie ausgenutzt?
Sabotaz 04. Jun 2018

Liest du überhaupt was du schreibst? Du hast es selbst zitiert. "Soweit bekannt"...

Re: "Der Steam-Client wird bei so gut wie allen...
Crass Spektakel 04. Jun 2018

Das Popup erscheint nur wenn der Download schon abgeschlossen ist und die beim Download...

Redaktion kennt keine Quellangaben.
Bizzi 03. Jun 2018

Wer ist dieser Court und was für ein Blog? Redaktionelle Aufbereitung sieht anders aus.

Re: Sicherheitslücke ist ehr unkritisch
Crone 02. Jun 2018

Grundsätzlich hast du recht, solche Angriffe sind möglich, aber das bedeutet immer...

Folgen Sie uns
       
Phase One IQ4 ausprobiert

Die Phase One IQ4 ist das Mittelformatsystem mit der höchsten Auflösung, das zur Zeit erhältlich ist. Wir haben die Profikamera getestet.

Phase One IQ4 ausprobiert Video aufrufen
Datensicherheit
Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen
Wissenschaft
Forschung: Mehr Elektronen sollen Photovoltaik effizienter machen
Forschung
Mehr Elektronen sollen Photovoltaik effizienter machen

Zwei dünne Schichten auf einer Silizium-Solarzelle könnten ihre Effizienz erhöhen. Grünes und blaues Licht kann darin gleich zwei Elektronen statt nur eines freisetzen.
Von Frank Wunderlich-Pfeiffer

  1. ISS Tierbeobachtungssystem Icarus startet
  2. Sun To Liquid Solaranlage erzeugt Kerosin aus Sonnenlicht, Wasser und CO2
  3. Shell Ocean Discovery X Prize X-Prize für unbemannte Systeme zur Meereskartierung vergeben
Datensicherheit
Endpoint Security: IT-Sicherheit ist ein Cocktail mit vielen Zutaten
Endpoint Security
IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Tausende Geräte in hundert verschiedenen Modellen mit Dutzenden unterschiedlichen Betriebssystemen. Das ist in großen Unternehmen Alltag und stellt alle, die für die IT-Sicherheit zuständig sind, vor Herausforderungen.
Von Anna Biselli

  1. Datendiebstahl Kundendaten zahlreicher deutscher Firmen offen im Netz
  2. Metro & Dish Tisch-Reservierung auf Google übernehmen
  3. Identitätsdiebstahl SIM-Dieb kommt zehn Jahre in Haft
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /