Die 50 besten Shooter für den PC Die 50 besten Strategiespiele für den PC

Massive Steam-Sicherheitslücke nach zehn Jahren geschlossen

Steam Sicherheitslücke

Während der letzten zehn Jahre war es theoretisch möglich, einen fremden PC via Steam zu übernehmen, jedenfalls dem IT-Sicherheitsunternehmen Context Information Security zufolge. Geratet nicht in Panik oder setzt euren PC in Brand – soweit bekannt ist, sind keine Geräte mit der Methode gehackt worden. Folglich ist auch kein Schaden aus diesem Exploit entstanden, aber er ist eine gute Gedankenstütze daran, wieso man Internetsicherheit im Griff haben sollte, egal wie groß oder klein eure zu schützende Einrichtung ist.

Sicherheitsexperte Tom Court, der Valve beim Ausfindigmachen und Schließen des Hintertürchens half, stellt auch einen Machbarkeitsnachweis in Form eines Videos zur Verfügung. Es zeigt, wie sich eine harmlose Anwendung für das Exploit ausnutzen lässt (der Windows-Taschenrechner), und es ist unschwer erkennbar, wie man ihn für böse Absichten statt für einfache Berechnungen einspannen kann. Die exakten Schritte sind viel zu technisch, um sie hier sinnvoll nachzustellen, vor allem mit einem üblicherweise um Schwerter und Schrotflinten kreisenden Vokabular, aber Programmierer könnten in Courts offiziellem Blog-Posting etwas Interessantes entdecken.

Das Schlupfloch wurde größtenteils im Juli vergangenen Jahres gestopft, als Valve seine Vertriebsplattform hinsichtlich moderner Exploit-Schutzmechanismen umgestaltete. Theoretisch hätte es trotzdem noch einigen Schaden anrichten können (etwa einen Absturz herbeiführen, statt eine ferngesteuerte Ausführung des Codes zu ermöglichen), aber die Bedrohung war beträchtlich reduziert. Context entdeckte das Problem im Februar des Jahres und setzte Valve darüber in Kenntnis. Obwohl rasch ein Patch folgte, erschien der Fix für den Steam-“Stable“-Zweig erst am 22. März.

Context Information Security informierte Valve in dem Moment, in dem sie die Hintertür entdeckten, und acht Stunden später erschien ein Beta-Patch (wodurch Valve eines der am schnellsten reagierenden Unternehmen ist, mit denen Context je zu tun hatte). Sie mögen ungern auf E-Mails antworten, aber offenbar haben sie ein paar sehr flott arbeitende Programmierer. Die kompletten Patch-Notes für das Client-Update vom 21. März steht hier zur Verfügung.

Danke an Motherboard fürs Finden dieser Geschichte.

verschlagwortet mit , .

Wenn Sie auf unsere Links zu Online-Shops und einen Kauf tätigen, erhalten wir ein paar Cent. Infos dazu finden Sie hier.

Who am I?

RPS UK

Contributor

More by me

Support RPS and get an ad-free site, extra articles, and free stuff! Tell me more