Abo
  • Services:

Client: Sicherheitslücke in Steam zehn Jahre lang unentdeckt

Mehr als zehn Jahre lang hat Valve offenbar eine Sicherheitslücke im Client von Steam übersehen, mit der Fremdcode auf Millionen von Windows-Rechnern hätte ausgeführt werden können.

Artikel veröffentlicht am ,
Client von Steam
Client von Steam (Bild: Valve)

Der Sicherheitsforscher Tom Court hat im Blog der Sicherheitsfirma Context eine Remote Code Execution Vulnerability (RCE) auf Steam vorgestellt. Das Besondere: Die inzwischen geschlossene Lücke im Code der Windows-Version des Steam-Client hat nach seiner Auffassung mindestens zehn Jahre bestanden. Sie hätte das Ausführen von beliebigem Fremdcode ermöglicht. Allerdings wurde sie, soweit bekannt, nie ausgenutzt. Eines der Worst-Case-Szenarios wäre der Aufbau eines Botnetzes gewesen, schließlich hat Steam viele Millionen Kunden.

Stellenmarkt
  1. Hoerner Bank Aktiengesellschaft, Heilbronn
  2. Fritz Kübler GmbH, Villingen-Schwenningen

Laut Tim Court war das Problem ab Juli 2017 nicht mehr ganz so groß, weil die Programmierer von Valve - wohl ohne von der genannten Lücke zu wissen - eine Address Space Layout Randomization (ASLR) in den Client integriert hätten. Dann hätte ein Angriff nur noch zum Absturz der Anwendung geführt, aber keine weiteren Folgen gehabt.

Valve sei am 20. Februar 2018 über das Problem informiert worden. Die Firma habe dann schnell reagiert: In weniger als zwölf Stunden sei die Lücke in der Beta-Version des Client geschlossen worden. Für die Endkunden-Version habe es am 20. März 2018 ein Update gegeben, mit der das Problem endgültig behoben wurde. Der Steam-Client wird bei so gut wie allen Nutzern automatisch aktualisiert, sodass das Problem nur noch sehr vereinzelt bestehen dürfte.

Ursache war laut Court, dass die Valve-Entwickler im Client bei einem speziellen Datenfeld keine Prüfung eingebaut hatten, die den Versuch des Eintragens zu großer Datenpakete abgefangen hätte. Stattdessen wäre es zu einem Speicherfehler gekommen, als dessen Folge der Schadcode platziert hätte werden können. Wer weitere Details wissen möchte, findet eine ausführliche Erläuterung des Problems im Blog von Court.



Anzeige
Top-Angebote
  1. (u. a. Resident Evil 7 biohazard für 14,99€, Dungeons 3 für 13,99€, Tom Clancy's Ghost Recon...
  2. (u. a. PSN Card 50 Euro für 43,99€)
  3. 27,99€ + 5,99€ Versand (Vergleichspreis 44,95€)

Lemo 05. Jun 2018 / Themenstart

Nochmal: Man kauft keine Spiele, man erwirbt nur eine Nutzungslizenz

Sabotaz 04. Jun 2018 / Themenstart

Liest du überhaupt was du schreibst? Du hast es selbst zitiert. "Soweit bekannt"...

Crass Spektakel 04. Jun 2018 / Themenstart

Das Popup erscheint nur wenn der Download schon abgeschlossen ist und die beim Download...

Bizzi 03. Jun 2018 / Themenstart

Wer ist dieser Court und was für ein Blog? Redaktionelle Aufbereitung sieht anders aus.

Crone 02. Jun 2018 / Themenstart

Grundsätzlich hast du recht, solche Angriffe sind möglich, aber das bedeutet immer...

Kommentieren


Folgen Sie uns
       


Die mögliche Hardware der Playstation 5 - Gespräch

Die Golem.de-Redakteure Marc Sauter und Michael Wieczorek sprechen über die mögliche Hardware, die in der Playstation 5 stecken könnte. Anhand historischer Verläufe, Hardwarezyklen und Trends lassen sich bereits einige Voraussagungen treffen.

Die mögliche Hardware der Playstation 5 - Gespräch Video aufrufen
Urheberrrecht: Etappensieg für Leistungsschutzrecht und Uploadfilter
Urheberrrecht
Etappensieg für Leistungsschutzrecht und Uploadfilter

Trotz aller Proteste: Der Rechtsausschuss des Europaparlaments votiert für ein Leistungsschutzrecht und Uploadfilter. Nun könnte das Plenum sich noch dagegenstellen.

  1. Leistungsschutzrecht Nur Einschränkungen oder auch Chancen?
  2. Vor Abstimmung 100 EU-Abgeordnete lehnen Leistungsschutzrecht ab
  3. Urheberrecht EU-Staaten für Leistungsschutzrecht und Uploadfilter

Kreuzschifffahrt: Wie Brennstoffzellen Schiffe sauberer machen
Kreuzschifffahrt
Wie Brennstoffzellen Schiffe sauberer machen

Die Schifffahrtsbranche ist nicht gerade umweltfreundlich: Auf hoher See werden die Maschinen der großen Schiffe mit Schweröl befeuert, im Hafen verschmutzen Dieselabgase die Luft. Das sollen Brennstoffzellen ändern - wenigstens in der Kreuzschifffahrt.
Von Werner Pluta

  1. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  2. Roboat MIT-Forscher drucken autonom fahrende Boote
  3. Elektromobilität Norwegen baut mehr Elektrofähren

IT-Jobs: Fünf neue Mitarbeiter in fünf Wochen?
IT-Jobs
Fünf neue Mitarbeiter in fünf Wochen?

Startups müssen oft kurzfristig viele Stellen besetzen. Wir waren bei dem Berliner Unternehmen Next Big Thing dabei, als es auf einen Schlag Bewerber für fünf Jobs suchte.
Ein Bericht von Juliane Gringer

  1. Frauen in IT-Berufen Programmierte Klischees
  2. Bitkom Research Höherer Frauenanteil in der deutschen IT-Branche
  3. Recruiting IT-Experten brauchen harte Fakten

    •  /