• IT-Karriere:
  • Services:

Hackerone: Steam blockiert Sicherheitsforscher, statt Lücken zu patchen

Erst hat Valve eine Sicherheitslücke in Steam nicht anerkannt, dann sollte sie vertuscht werden. Nach ihrer Veröffentlichung wurde sie unzureichend gepatcht und der Entdecker vom Bug-Bounty-Programm ausgeschlossen. Nun hat der Forscher erneut eine Lücke gefunden - und Valve scheint langsam einzulenken.

Artikel veröffentlicht am ,
Sperren statt fixen - das scheint die Devise bei Steam zu sein.
Sperren statt fixen - das scheint die Devise bei Steam zu sein. (Bild: iirliinnaa/Pixabay)

Sicherheitsforscher Vasily Kravets hat eine weitere Sicherheitslücke im Spiele-Launcher Steam von Valve veröffentlicht. Die Lücke ermöglicht eine Ausweitung der Rechte, mit ihr kann beispielsweise Schadcode als Administrator ausgeführt werden. Über die Bug-Bounty-Plattform Hackerone konnte Kravets die Sicherheitslücke nicht an Valve melden, der Stea m-Hersteller hatte dort eine Sperre gegen ihn erwirkt. Daher veröffentlichte er die ungepatchte Sicherheitslücke in einem Blogeintrag.

Stellenmarkt
  1. operational services GmbH & Co. KG, verschiedene Standorte
  2. Deloitte, Frankfurt am Main, Hamburg, München, Berlin, Düsseldorf

Bereits Anfang August hatte der Forscher eine ungepatchte Sicherheitslücke zur Rechteausweitung im Steam-Client in einem Blogeintrag veröffentlicht. Diese hatte er jedoch zuvor über Hackerone an Valve gemeldet. In den Bedingungen des Bug-Bounty-Programmes schloss Valve allerdings Lücken zur Rechteausweitung aus und wollte diese nicht beheben. Auch einer Veröffentlichung der Informationen widersprach der Betreiber der Spieleplattform.

Erst auf die folgende Medienberichterstattung reagierte Valve und patchte die Sicherheitslücke - allerdings unzureichend: Sicherheitsforscher konnten den Patch umgehen - auch Kravets bestätigte, dass er die Lücke immer noch ausnutzen könne. Valve habe sich seit der Veröffentlichung mit keinem einzigen Wort bei ihm gemeldet, betont Kravets. Hackerone habe ihm einen umfangreichen Brief geschickt, aber sonst größtenteils geschwiegen. "Irgendwann eskalierten die Dinge mit Valve und ich wurde von ihnen auf Hackerone gesperrt - ich kann nicht mehr an ihrem Bug-Bounty-Programm teilnehmen (der Rest von Hackerone ist allerdings noch verfügbar)", erklärte der Sicherheitsforscher.

Noch eine Sicherheitslücke

Daher veröffentlichte Kravets erneut eine ungepatchte Rechteausweitung in einem Blogeintrag. Kravets konnte Steam über einen Symlink eine eigene DLL-Datei unterschieben, mit welcher er anschließend eine Konsole mit Administratorrechten öffnen konnte. Allerdings musste er zuvor noch einen Signaturcheck umgehen, der verhindern sollte, dass der Software eine andere DLL-Datei untergejubelt werden kann. Dies erreichte er, indem er mehrmals die echte DLL-Datei über Symlinks lud und erst beim sechsten Einlesen der Datei auf eine schädliche verwies.

Im Stillen reagierte Valve dann doch auf die Veröffentlichung: Die neue Sicherheitslücke wurde in der Beta-Version des Steam-Clients geschlossen und auch die Policy zu Sicherheitslücken geändert: Bisher erkannte Valve nur Remote-Sicherheitslücken in seinen Produkten an, nicht aber solche, bei der die eigene Software zur Rechteausweitung verwendet wurde. Für die Nutzer von Steam sind auch diese allerdings gefährlich. Beispielsweise kann eine Schadsoftware über eine Rechteausweitung Persistenz erlangen, Zugriff auf Daten von anderen Nutzern erlangen oder Sicherheitseinstellungen verändern oder deaktivieren. Da Valve solche Lücken nicht als sicherheitskritisch anerkannte, wurden sie oft auch nicht geschlossen. Nun hat Valve die Policy seines Bug-Bounty-Programmes geändert - vielleicht findet das Unternehmen in Zukunft ja zu einem besseren Umgang mit Sicherheitsforschern und -lücken.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

Wiki-Nger 10. Sep 2019

Die wollen anscheinend Adobe Flash ablösen als mieseste Bugschleuder auf dem Planeten

crack_monkey 23. Aug 2019

Meinst du mit Software, das eine 3. Hersteller Software die mit dem Symlink arbeiten soll...

masterx244 23. Aug 2019

Der Fehler war dass die Datei geprüft wird und dann zum als DLL laden nochmal eingelesen...


Folgen Sie uns
       


Datenbasierte Archäologie im DAI

Idai World ist ein System, um archäologische Daten aufzubereiten und online zugänglich zu machen. Benjamin Ducke vom Deutschen Archäologischen Institut stellt es vor.

Datenbasierte Archäologie im DAI Video aufrufen
Videoüberwachung: Kameras sind überall, aber nicht überall erlaubt
Videoüberwachung
Kameras sind überall, aber nicht überall erlaubt

Dass Überwachungskameras nicht legal eingesetzt werden, ist keine Seltenheit. Ob aus Nichtwissen oder mit Absicht: Werden Privatsphäre oder Datenschutz verletzt, gehören die Kameras weg. Doch dazu müssen sie erst mal entdeckt, als legal oder illegal ausgemacht und gemeldet werden.
Von Harald Büring

  1. Nach Attentat Datenschutzbeauftragter kritisiert Hintertüren in Messengern
  2. Australien IT-Sicherheitskonferenz Cybercon lädt Sprecher aus
  3. Spionagesoftware Staatsanwaltschaft ermittelt nach Anzeige gegen Finfisher

Energiewende: Grüner Wasserstoff aus der Zinnschmelze
Energiewende
Grüner Wasserstoff aus der Zinnschmelze

Wasserstoff ist wichtig für die Energiewende. Er kann als Treibstoff für Brennstoffzellenautos genutzt werden und gilt als sauber. Seine Herstellung ist es aber bislang nicht. Karlsruher Forscher haben nun ein Verfahren entwickelt, bei dem kein schädliches Kohlendioxid entsteht.
Ein Bericht von Werner Pluta

  1. Brennstoffzelle Deutschland bekommt mehr Wasserstofftankstellen
  2. Energiewende Hamburg will große Wasserstoff-Elektrolyseanlage bauen

Mikrocontroller: Sensordaten mit Micro Python und ESP8266 auslesen
Mikrocontroller
Sensordaten mit Micro Python und ESP8266 auslesen

Python gilt als relativ einfach und ist die Sprache der Wahl in der Data Science und beim maschinellen Lernen. Aber die Sprache kann auch anders. Mithilfe von Micro Python können zum Beispiel Sensordaten ausgelesen werden. Ein kleines Elektronikprojekt ganz ohne Löten.
Eine Anleitung von Dirk Koller

  1. Programmiersprache Python verkürzt Release-Zyklus auf ein Jahr
  2. Programmiersprache Anfang 2020 ist endgültig Schluss für Python 2

    •  /