Abo
  • IT-Karriere:

Client: Sicherheitslücke in Steam zehn Jahre lang unentdeckt

Mehr als zehn Jahre lang hat Valve offenbar eine Sicherheitslücke im Client von Steam übersehen, mit der Fremdcode auf Millionen von Windows-Rechnern hätte ausgeführt werden können.

Artikel veröffentlicht am ,
Client von Steam
Client von Steam (Bild: Valve)

Der Sicherheitsforscher Tom Court hat im Blog der Sicherheitsfirma Context eine Remote Code Execution Vulnerability (RCE) auf Steam vorgestellt. Das Besondere: Die inzwischen geschlossene Lücke im Code der Windows-Version des Steam-Client hat nach seiner Auffassung mindestens zehn Jahre bestanden. Sie hätte das Ausführen von beliebigem Fremdcode ermöglicht. Allerdings wurde sie, soweit bekannt, nie ausgenutzt. Eines der Worst-Case-Szenarios wäre der Aufbau eines Botnetzes gewesen, schließlich hat Steam viele Millionen Kunden.

Stellenmarkt
  1. Stadtwerke Karlsruhe GmbH, Karlsuhe
  2. Senat der Freien und Hansestadt Hamburg Senatskanzlei, Hamburg

Laut Tim Court war das Problem ab Juli 2017 nicht mehr ganz so groß, weil die Programmierer von Valve - wohl ohne von der genannten Lücke zu wissen - eine Address Space Layout Randomization (ASLR) in den Client integriert hätten. Dann hätte ein Angriff nur noch zum Absturz der Anwendung geführt, aber keine weiteren Folgen gehabt.

Valve sei am 20. Februar 2018 über das Problem informiert worden. Die Firma habe dann schnell reagiert: In weniger als zwölf Stunden sei die Lücke in der Beta-Version des Client geschlossen worden. Für die Endkunden-Version habe es am 20. März 2018 ein Update gegeben, mit der das Problem endgültig behoben wurde. Der Steam-Client wird bei so gut wie allen Nutzern automatisch aktualisiert, sodass das Problem nur noch sehr vereinzelt bestehen dürfte.

Ursache war laut Court, dass die Valve-Entwickler im Client bei einem speziellen Datenfeld keine Prüfung eingebaut hatten, die den Versuch des Eintragens zu großer Datenpakete abgefangen hätte. Stattdessen wäre es zu einem Speicherfehler gekommen, als dessen Folge der Schadcode platziert hätte werden können. Wer weitere Details wissen möchte, findet eine ausführliche Erläuterung des Problems im Blog von Court.



Anzeige
Top-Angebote
  1. 54,00€
  2. 19,99€ (Release am 1. August)
  3. 69,00€ (Bestpreis!)
  4. (aktuell u. a. AMD Ryzen 7 2700X für 284,00€, Lego Overwatch verschiedene Versionen ab 29,99€)

Lemo 05. Jun 2018

Nochmal: Man kauft keine Spiele, man erwirbt nur eine Nutzungslizenz

Sabotaz 04. Jun 2018

Liest du überhaupt was du schreibst? Du hast es selbst zitiert. "Soweit bekannt"...

Crass Spektakel 04. Jun 2018

Das Popup erscheint nur wenn der Download schon abgeschlossen ist und die beim Download...

Bizzi 03. Jun 2018

Wer ist dieser Court und was für ein Blog? Redaktionelle Aufbereitung sieht anders aus.

Crone 02. Jun 2018

Grundsätzlich hast du recht, solche Angriffe sind möglich, aber das bedeutet immer...


Folgen Sie uns
       


Katamaran Energy Observer angesehen

Die Energy Observer ist ein Schiff, das ausschließlich mit erneuerbaren Energien betrieben wird und seinen Treibstoff zum Teil selbst produziert. Wir haben es in Hamburg besucht.

Katamaran Energy Observer angesehen Video aufrufen
Kontist, N26, Holvi: Neue Banking-Apps machen gute Angebote für Freelancer
Kontist, N26, Holvi
Neue Banking-Apps machen gute Angebote für Freelancer

Ein mobiles und dazu noch kostenloses Geschäftskonto für Freiberufler versprechen Startups wie Kontist, N26 oder Holvi. Doch sind die Newcomer eine Alternative zu den Freelancer-Konten der großen Filialbanken? Ja, sind sie - mit einer kleinen Einschränkung.
Von Björn König


    Lightyear One: Luxus-Elektroauto fährt auch mit Solarstrom
    Lightyear One
    Luxus-Elektroauto fährt auch mit Solarstrom

    Ein niederländisches Jungunternehmen hat ein ungewöhnliches Fahrzeug entwickelt, das Luxus und Umweltfreundlichkeit kombiniert. Solarzellen auf dem Dach erhöhen die Reichweite um bis zu 220 Kilometer.
    Von Wolfgang Kempkens

    1. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern
    2. Elektroautos e.GO Mobile liefert erste Fahrzeuge aus
    3. Volkswagen Über 10.000 Vorreservierungen für den ID.3 in 24 Stunden

    Strom-Boje Mittelrhein: Schwimmende Kraftwerke liefern Strom aus dem Rhein
    Strom-Boje Mittelrhein
    Schwimmende Kraftwerke liefern Strom aus dem Rhein

    Ein Unternehmen aus Bingen will die Strömung des Rheins nutzen, um elektrischen Strom zu gewinnen. Es installiert 16 schwimmende Kraftwerke in der Nähe des bekannten Loreley-Felsens.

    1. Speicherung von Überschussstrom Wasserstoff soll bei Engpässen helfen
    2. Energiewende DLR-Forscher bauen Kohlekraftwerke zu Stromspeichern um
    3. Erneuerbare Energien Wellenkraft als Konzentrat

      •  /