Sicherheitslücke in Steam - Infizierung durch Schadsoftware war jahrelang möglich

Die Software für Steam war unter Windows 10 Jahre lang relativ leicht angreifbar und hätte Millionen Nutzer mit Schadsoftware infizieren können.

von Georg Wieselsberger,
01.06.2018 09:27 Uhr

Steam war jahrelang unsicher, weil eine Datenpaket-Prüfung fehlte.Steam war jahrelang unsicher, weil eine Datenpaket-Prüfung fehlte.

Ein Fehler, der laut dem Sicherheitsforscher Tom Court mindestens 10 Jahre lang in der Windows-Version des Steam-Clients existierte, hätte von Angreifern dazu genutzt werden können, Schadsoftware auszuführen.

Damit wären die inzwischen rund 15 Millionen Nutzer, die jeden Tag bei Steam aktiv sind, gefährdet gewesen. Das Einfallstor für den Schadcode war das sogenannte Steam-Protokoll, bei dem laut Court bestimmte Datenpakete nicht darauf überprüft wurden, ob sie zu groß sind.

Die besten Prozessoren für Spieler

Seit Juli 2017 weniger gefährlich

Vermutlich war es ein Versehen, da ähnliche Prüfungen bei allen anderen Paketen vorhanden sind. Entsprechend manipulierte UDP-Pakete hätten für eine Heap Corruption beziehungsweise einen Puffer-Überlauf sorgen können, über den durch weitere Schritte beliebiger Code hätte ausgeführt werden können. Dabei hätte auch die Art und Weise, wie Steam Speicher zuweist geholfen.

Erst im Juli 2017 hätte Valve dann das Problem stark verringert, da dann erstmals im Client über Address Space Layout Randomization (ASLR) eine Speicherverwürfelung eingesetzt wurde. Mit der Sicherheitslücke hatte dieser Schritt aber wohl nichts zu tun, denn laut Court wurde Valve erst am 20. Februar 2018 über das Problem informiert.

Der Aufstieg von Valve - Teil 1: Mit der Brechstange

Valve reagierte innerhalb von 8 Stunden

Der Sicherheitsexperte lobt dann auch die schnelle Reaktion von Valve, denn in der Beta-Version des Clients war die Lücke in nur acht Stunden nach der Meldung behoben. Der allgemein genutzte Client wurde dann über das Update am 22. März 2018 entsprechend aktualisiert.

Nachdem das Problem nun definitiv behoben ist, hat Tom Court alle Details zu der Sicherheitslücke in einem Blogbeitrag veröffentlicht. Im Grunde habe es sich um einen sehr einfachen Fehler gehandelt, der dadurch hätte ausgenutzt werden können, dass dem Client moderne Schutzmaßnahmen wie ASLR gefehlt hätten.

Selbstbau-PCs - Die wichtigsten Grundregeln für euren neuen Spiele-Rechner 7:41 Selbstbau-PCs - Die wichtigsten Grundregeln für euren neuen Spiele-Rechner


Kommentare(32)

Nur angemeldete Benutzer können kommentieren und bewerten.

Cookies optimieren die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen oder schließen