• IT-Karriere:
  • Services:

Client: Sicherheitslücke in Steam zehn Jahre lang unentdeckt

Mehr als zehn Jahre lang hat Valve offenbar eine Sicherheitslücke im Client von Steam übersehen, mit der Fremdcode auf Millionen von Windows-Rechnern hätte ausgeführt werden können.

Artikel veröffentlicht am ,
Client von Steam
Client von Steam (Bild: Valve)

Der Sicherheitsforscher Tom Court hat im Blog der Sicherheitsfirma Context eine Remote Code Execution Vulnerability (RCE) auf Steam vorgestellt. Das Besondere: Die inzwischen geschlossene Lücke im Code der Windows-Version des Steam-Client hat nach seiner Auffassung mindestens zehn Jahre bestanden. Sie hätte das Ausführen von beliebigem Fremdcode ermöglicht. Allerdings wurde sie, soweit bekannt, nie ausgenutzt. Eines der Worst-Case-Szenarios wäre der Aufbau eines Botnetzes gewesen, schließlich hat Steam viele Millionen Kunden.

Stellenmarkt
  1. Erwin Hymer Group SE, Bad Waldsee
  2. operational services GmbH & Co. KG, Frankfurt am Main, Berlin, Braunschweig, München, Wolfsburg

Laut Tim Court war das Problem ab Juli 2017 nicht mehr ganz so groß, weil die Programmierer von Valve - wohl ohne von der genannten Lücke zu wissen - eine Address Space Layout Randomization (ASLR) in den Client integriert hätten. Dann hätte ein Angriff nur noch zum Absturz der Anwendung geführt, aber keine weiteren Folgen gehabt.

Valve sei am 20. Februar 2018 über das Problem informiert worden. Die Firma habe dann schnell reagiert: In weniger als zwölf Stunden sei die Lücke in der Beta-Version des Client geschlossen worden. Für die Endkunden-Version habe es am 20. März 2018 ein Update gegeben, mit der das Problem endgültig behoben wurde. Der Steam-Client wird bei so gut wie allen Nutzern automatisch aktualisiert, sodass das Problem nur noch sehr vereinzelt bestehen dürfte.

Ursache war laut Court, dass die Valve-Entwickler im Client bei einem speziellen Datenfeld keine Prüfung eingebaut hatten, die den Versuch des Eintragens zu großer Datenpakete abgefangen hätte. Stattdessen wäre es zu einem Speicherfehler gekommen, als dessen Folge der Schadcode platziert hätte werden können. Wer weitere Details wissen möchte, findet eine ausführliche Erläuterung des Problems im Blog von Court.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Lemo 05. Jun 2018

Nochmal: Man kauft keine Spiele, man erwirbt nur eine Nutzungslizenz

Sabotaz 04. Jun 2018

Liest du überhaupt was du schreibst? Du hast es selbst zitiert. "Soweit bekannt"...

Crass Spektakel 04. Jun 2018

Das Popup erscheint nur wenn der Download schon abgeschlossen ist und die beim Download...

Bizzi 03. Jun 2018

Wer ist dieser Court und was für ein Blog? Redaktionelle Aufbereitung sieht anders aus.

Crone 02. Jun 2018

Grundsätzlich hast du recht, solche Angriffe sind möglich, aber das bedeutet immer...


Folgen Sie uns
       


Immortals Fenyx Rising - Fazit

Im Video zeigt Golem.de das Actionspiel Immortals Fenyx Rising.

Immortals Fenyx Rising - Fazit Video aufrufen
    •  /