|
›› Willkommen! ›› 101.320.580 Visits ›› 18.316 registrierte User ›› 16 Besucher online (0 auf dieser Seite)
|
|
|
Steam Sicherheitslücke in Steam-URLs entdeckt
16.10.2012 | 22:01 Uhr | von Trineas
|
11.842 Hits
41 Kommentare 1 viewing
|
|
Die auf Computersicherheit spezialisierte Firma ReVuln hat in einem mehrseitigen Bericht eine Sicherheitslücke rund um das Steam-Browser-Protokoll aufgedeckt. Dabei handelt es sich um Links die mit "steam://" beginnen und Aktionen wie die Installation oder auch das Starten von Spielen durchführen. Speziell im Zusammenhang mit dem Webbrowser Safari, der keine Warnung bei der Ausführung eines solchen Kommandos gibt, könnte es zu Gefahren kommen.
Zitat: Original von Fazit der Studie In this paper we proved that the current implementation of the Steam Browser Protocol handling mechanism is an excellent attack vector, which enables attackers to exploit local issues in a remote fashion. We also detailed as proof of the effectiveness of this new attack vector, five new remotely exploitable issues, including one in Steam, and two in widely used game engines (Source and Unreal). Because of the big audience (more than 50 million people), the support for several different platforms including Windows, MacOs and Linux and the amount of effort required to exploit bugs via Steam Browser Protocol commands, Steam can be considered a high-impact attack vector.
| Gleichzeitig haben Spiele oft weitreichende Berechtigungen, so kann die Source-Engine etwa sogenannte Batch-Dateien erstellen, die beim Start von Windows automatisch ausgeführt werden. Es wäre also möglich, dass ein Angreifer mit einer Steam-URL ein Spiel startet und dieses dann eine solche Batch-Datei mit Schadcode erstellt. Das Unternehmen hat laut eigenen Angaben Valve von den Sicherheitslücken in Kenntnis gesetzt, bisher aber keine Antwort erhalten. Wer in der Zwischenzeit auf Nummer sicher gehen möchte, sollte das Steam-Protokoll für seinen Browser deaktivieren.
|
Was? Schlechte Nachrichten bei Steam? Ich dachte, dies hier sei eine Fanboyseite?!
scnr
|
|
16.10.2012, 22:22 Uhr |
|
|
Liegt wohl daran, dass es bis jetzt noch keine wirklich schlechten, mit Steam verbundenen Nachrichten gab
|
|
16.10.2012, 22:25 Uhr |
|
|
Zitat: Wer in der Zwischenzeit auf Nummer Sicher gehen möchte, sollte das Steam-Protokoll für seinen Browser deaktivieren.
| Wie und wo genau deaktiviert man das denn überhaupt?
|
|
16.10.2012, 22:25 Uhr |
|
|
hm... das muss mich mir mal ganz genau ansehn
|
|
16.10.2012, 22:41 Uhr |
|
|
Zitat: Original von mewshiny Zitat: Wer in der Zwischenzeit auf Nummer Sicher gehen möchte, sollte das Steam-Protokoll für seinen Browser deaktivieren.
| Wie und wo genau deaktiviert man das denn überhaupt?
| Im Firefox unter Einstellungen > Anwendungen > Nach 'steam' suchen und dort die gewünschte Aktion auswählen.
Im Chrome geht das nicht so einfach. Da muss man die folgende Datei mit Notepad bearbeiten:
C:\Users\<username>\AppData\Local\Google\Chrome\User Data\Local State
Und darin nach 'steam' suchen und dort den Wert von 'false' auf 'true' ändern.
|
|
16.10.2012, 22:55 Uhr |
|
|
ich kann ja nachvollziehen, wie das spiel gestartet wird ohne dass der user das will, aber wieso sollte das spiel ne schadhafte batchdatei erstellen, ohne das spiel selbst zu manipulieren?
|
|
17.10.2012, 02:11 Uhr |
|
|
@blackAngel.it
Indem man beim Starten einen Argument erstellt, der eine Datei mit bestimmtem Inhalt erstellen soll.
Wird in dem Bericht genauer beleuchtet. (Seite 6 und 7)
https://developer.valvesoftware.com/wiki/Command_Line_Options
@Topic
Mit der Unreal Engine ist es schlimmer, denn dort kann man mit dem Spiel Dateien von einem entferntem Rechner/Server runterladen.
Ich hoffe es wird bald gefixt. Im Grunde nutzt man die Sicherheitslücken der Spiele, Steam erlaubt "nur" ausführen mit cmd Parametern.
|
|
17.10.2012, 07:32 Uhr |
|
|
Wie jetzt, bisher keine Reaktion von Valve? Die Verwechseln wohl gerade Sicherheit mit Verbraucherschutz?
Wenigstens ein "Danke für den Hinweis, wir prüfen das jetzt" an die Sicherheitsfirma wäre das Mindeste, wenn schon andere Firmen die Arbeit für Valve erledigen.
Das kommt also dabei heraus, wenn jeder machen kann was er will.
Wer weiß schon wieviele PCs inzwischen damit manipuliert wurden.
|
|
17.10.2012, 08:15 Uhr |
|
|
Bei XP ist das natürlich kein Problem, weil das eigentlich halbwegs brauchbare Sicherheitskonzept per Standardeinstellungen quasi umschifft wird, aber bei Vista und 7 sollte doch zumindest so eine "Chef, so ein Typ namens Steam will was am System ändern"-Meldung kommen, die man bestätigen muss? Ansonsten ist doch bestenfalls das Benutzerkonto betroffen...
|
|
17.10.2012, 08:35 Uhr |
|
|
@HorstMcDonald
Ich vermute mal nicht viele bis garkeine, da die Lücke ja "gerade" oder vor kurzem entdeckt wurde Wären viele Pc damit infiziert worden wäre sie bestimmt schon früher erkannt worden. Gibt ja Browser und Steam schon seid längerem
|
|
17.10.2012, 08:41 Uhr |
|
|
Dem bericht nach muss man vielleicht nicht einmal ein programm starten, denn der beschriebene buffer-overflow beim TGA-datei laden bei der retail-installation (was normalerweise wahrscheinlich von über steam activierbaren spielen auf DVD benutzt werden wird) sorgt dafür, dass ein beliebiges stück Steam-programmcode (samt standardbibliotheken) mit beliebigen argumenten ausgeführt werden kann. Dadurch kann auch eine bösartige datei erstellt werden, "Eigene Dateien" geleert werden, oder eine unbemerkte VPN-verbindung zum hacker erstellt werden (letzteres zumindest dann wenn entsprechende programme installiert sind) - ohne irgendwelche sicherheitsabfragen vom system (und selbst wenn würden viele von diesen ständig genervte nutzer vielleicht sowieso alles zulassen). Allerdings wird Steam dann vielleicht ein installationsfenster anzeigen, also ganz unbemerkt geht es nicht.
|
|
17.10.2012, 08:58 Uhr |
|
|
Seh ich nicht Tragisch..seit das (übrigens extrem lästige) Steamquard eingeführt wurde kann nicht mehr viel passieren.......
|
|
17.10.2012, 10:16 Uhr |
|
|
Zitat: Original von HorstMcDonald Wie jetzt, bisher keine Reaktion von Valve? Die Verwechseln wohl gerade Sicherheit mit Verbraucherschutz?
Wenigstens ein "Danke für den Hinweis, wir prüfen das jetzt" an die Sicherheitsfirma wäre das Mindeste, wenn schon andere Firmen die Arbeit für Valve erledigen.
Das kommt also dabei heraus, wenn jeder machen kann was er will.
| Hast du wirklich etwas anderes erwartet? In einer Welt, in der Gabe Newell schon Lobeshymnen gesungen bekam, als er eine Nachricht rausgeschickt hat das Steam gehackt, und Benutzerdaten ausgelesen wurden, was eigentlich selbstverständlich ist?
Es ist ja anscheinend noch nichts passiert. Es besteht also noch lange kein Grund zur Eile...
@Quad: Was genau willst du denn damit bezwecken, das du jetzt auf einmal überall solche zynischen Trollcomments abgibst? Das ändert rein garnichts an der Tatsache, das die Kritik an Valve oder dem dazugehörigen Portal ihre Daseinsberechtigung hat.
@Northernstar: hier geht es nicht um die Sicherheit deines Steamaccounts, sondern um die Sicherheit deines Computers. Und die hat überhaupt nichts mit dem SteamGuard zu tun...
|
|
17.10.2012, 10:23 Uhr |
|
|
Ist ein normaler Umgang von Softwarefirmen mit solchen Meldungen. Erstmal abwarten und die PR-Abteilung eine entsprechende Strategie entwickeln lassen.
Ich kann mir gut vorstellen, dass Valve das gerade exakt genauso machen wird. Immerhin haben sie keine Übung im Umgang mit solchen Meldungen. Aber ich bin mir sicher, dass Valve das halbwegs schnell beheben wird. Müssen eher, immerhin gab es in Vergangenheit bereits einige erfolgreiche Angriffe auf die Steam-Infrastruktur.
|
|
17.10.2012, 10:27 Uhr |
|
|
Zitat: Original von Northernstar Seh ich nicht Tragisch..seit das (übrigens extrem lästige) Steamquard eingeführt wurde kann nicht mehr viel passieren.......
| Korrigiert mich wenn ich falsch liege - aber Steamguard hat damit doch nicht wirklich viel zutun? Schützt es nicht nur vor Account-Diebstahl? ..was jetzt nicht wirklich in Zusammenhang mit der Installation von Schadsoftware auf einem PC steht.
|
|
17.10.2012, 10:56 Uhr |
|
|
Zitat: Original von blackAngel.it ich kann ja nachvollziehen, wie das spiel gestartet wird ohne dass der user das will, aber wieso sollte das spiel ne schadhafte batchdatei erstellen, ohne das spiel selbst zu manipulieren?
| Über diese "Steamlinks" kann man glaube ich nicht nur das Spiel starten, sondern auch gleich einen Server joinen. Dieser könnte dann eventuell Skripte durch Maps auf deinen Rechner laden. Muss nicht so stimmen, Könnte mir aber vorstellen, dass es so oder so ähnlich funktioniert.
@MrKohlenstoff
Da hast du komplett recht. Steamguard schützt nur vor Accountdiebstahl und das nicht einmal auf eine ziemlich sichere Weise, denn wenn man das selbe Passwort für Steam und für sein E-Mailkonto benutzt, kommen die Datendiebe trotzdem an deinen Steamaccount.
|
|
17.10.2012, 11:54 Uhr |
|
|
@pepper08: Nein, man kann mit den Steam-links auch ohne ein spiel zu starten einen buffer-overflow auslösen, und das bedeutet dass man auf dem betroffenen rechner eigentlich alles machen kann (zumindest sofern der angemeldete nutzer die berechtigung dazu hat oder bekommen kann).
|
|
17.10.2012, 14:57 Uhr |
|
|
Zitat: Original von icbm Bei XP ist das natürlich kein Problem, weil das eigentlich halbwegs brauchbare Sicherheitskonzept per Standardeinstellungen quasi umschifft wird, aber bei Vista und 7 sollte doch zumindest so eine "Chef, so ein Typ namens Steam will was am System ändern"-Meldung kommen, die man bestätigen muss? Ansonsten ist doch bestenfalls das Benutzerkonto betroffen...
| Bei Windows 7 kommen solche Meldungen sehr selten
Und bei Vista waren diese Meldungen derart häufig das ich da dieses Systhem Irgendwann ganz einfach Deaktiviert hatte
|
|
17.10.2012, 15:11 Uhr |
|
|
Naja, wer irgendwelche 100 Zeichen lange Steam:-Links auf komplett fremden Webseiten anklickt sollte sich nicht wundern wenn sowas passiert. Und das scheint mir die einzige Methode zu sein.
Aber ist natürlich trotzdem ein Problem, gibt ja genug PC-Nutzer die komplett sorglos surfen.
|
|
17.10.2012, 16:40 Uhr |
|
|
@Horst: Der Bericht ist vom 15. Oktober, was hast du dir erwartet? Sowas zu evaluieren und dann eine ordentliche Antwort zu bringen braucht etwas Zeit. Wir reden hier von keinem nebensächlichen Problemchen, sondern von einer ordentlichen Sicherheitslücke. Ein "Danke für den Hinweis, wir prüfen das jetzt." ist meiner Meinung nach eine ziemlich beschissene Antwort. Wenn, dann soll da gleich eine ordentliche Meldung her, mit Plänen für die Zukunft.
Aber warum antworte ich dir überhaupt? So wie deine Kommentare hier immer klingen scheinst du ja einen auf Anti-Fanboy zu machen und bist damit aber kein Stück weniger nervig, als die Lobhudeler.
|
|
17.10.2012, 16:52 Uhr |
|
Du musst dich einloggen, um Kommentare schreiben zu können Du hast nicht die erforderlichen Rechte einen Kommentar zu schreiben. Solltest du eine Account-Strafe haben, findest du nähere Informationen in deinem Profil unter Verwarnungen.
|
|
|
|