Unreal-Engine - Neue Sicherheitslücke entdeckt

In der Unreal-Engine ist eine neue Schwachstelle entdeckt worden, die bisher nur im letzten Patch (v3236) zu Unreal Tournament 2004 behoben wurde. Wie unsere Schwesterpublikation tecchannel unter Berufung auf den Sicherheitsexperten Luigi Auriemma berichtet, können Angreifer über die Schwachstelle jedes System kompromittieren und beliebigen Code ausführen.

Die Sicherheitslücke beruht auf einem Begrenzungsfehler bei der Verarbeitung von Sicherungsabfragen, die benutzt werden, um den abgefragten Server zu legitimieren. Dies kann der Angreifer ausnutzen, um einen Pufferüberlauf zu verursachen, indem er einen überlangen Challenge-String an den Server sendet.

Die folgenden Spiele sind betroffen:

DeusEx (build 1.112fm und niedriger) Devastation (build 390 und niedriger) Mobile Forces (build 20000 und niedriger) Nerf Arena Blast (build 1.2 und niedriger) Postal 2 (build 1337 und niedriger) Rune (build 107 und niedriger) Tactical Ops (build 3.4.0 und niedriger) TNN Pro HunterUnreal 1 (build 226f und niedriger) Unreal II XMP (build 7710 und niedriger) Unreal Tournament (build 451b und niedriger) Unreal Tournament 2003 (build 2225 und niedriger) Unreal Tournament 2004 (vor build 3236) Wheel of Time (build 333b und niedriger X-com Enforcer

Die Sicherheitslücke ist Epic Games seit dem 25. Mai bekannt und wurde im jüngsten Patch zu UT 2004 geschlossen.
Alle anderen Spiele sind bis zum Erscheinen von Patches gefährdet und sollten im Multiplayer-Spiele nur in vertrauenswürdigen, lokalen Netzwerken gespielt werden.