Ein Fehler, der laut dem Sicherheitsforscher Tom Court mindestens 10 Jahre lang in der Windows-Version des Steam-Clients existierte, hätte von Angreifern dazu genutzt werden können, Schadsoftware auszuführen.
Damit wären die inzwischen rund 15 Millionen Nutzer, die jeden Tag bei Steam aktiv sind, gefährdet gewesen. Das Einfallstor für den Schadcode war das sogenannte Steam-Protokoll, bei dem laut Court bestimmte Datenpakete nicht darauf überprüft wurden, ob sie zu groß sind.
Die besten Prozessoren für Spieler
Seit Juli 2017 weniger gefährlich
Vermutlich war es ein Versehen, da ähnliche Prüfungen bei allen anderen Paketen vorhanden sind. Entsprechend manipulierte UDP-Pakete hätten für eine Heap Corruption beziehungsweise einen Puffer-Überlauf sorgen können, über den durch weitere Schritte beliebiger Code hätte ausgeführt werden können. Dabei hätte auch die Art und Weise, wie Steam Speicher zuweist geholfen.
Erst im Juli 2017 hätte Valve dann das Problem stark verringert, da dann erstmals im Client über Address Space Layout Randomization (ASLR) eine Speicherverwürfelung eingesetzt wurde. Mit der Sicherheitslücke hatte dieser Schritt aber wohl nichts zu tun, denn laut Court wurde Valve erst am 20. Februar 2018 über das Problem informiert.
Der Aufstieg von Valve - Teil 1: Mit der Brechstange
Valve reagierte innerhalb von 8 Stunden
Der Sicherheitsexperte lobt dann auch die schnelle Reaktion von Valve, denn in der Beta-Version des Clients war die Lücke in nur acht Stunden nach der Meldung behoben. Der allgemein genutzte Client wurde dann über das Update am 22. März 2018 entsprechend aktualisiert.
Nachdem das Problem nun definitiv behoben ist, hat Tom Court alle Details zu der Sicherheitslücke in einem Blogbeitrag veröffentlicht. Im Grunde habe es sich um einen sehr einfachen Fehler gehandelt, der dadurch hätte ausgenutzt werden können, dass dem Client moderne Schutzmaßnahmen wie ASLR gefehlt hätten.
7:41
Selbstbau-PCs - Die wichtigsten Grundregeln für euren neuen Spiele-Rechner
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.