Die auf Computersicherheit spezialisierte Firma ReVuln hat in einem mehrseitigen Bericht eine Sicherheitslücke rund um das Steam-Browser-Protokoll aufgedeckt. Dabei handelt es sich um Links die mit "steam://" beginnen und Aktionen wie die Installation oder auch das Starten von Spielen durchführen...
Zitat: Wer in der Zwischenzeit auf Nummer Sicher gehen möchte, sollte das Steam-Protokoll für seinen Browser deaktivieren.
Wie und wo genau deaktiviert man das denn überhaupt?
Im Firefox unter Einstellungen > Anwendungen > Nach 'steam' suchen und dort die gewünschte Aktion auswählen.
Im Chrome geht das nicht so einfach. Da muss man die folgende Datei mit Notepad bearbeiten:
C:\Users\<username>\AppData\Local\Google\Chrome\User Data\Local State
Und darin nach 'steam' suchen und dort den Wert von 'false' auf 'true' ändern.
ich kann ja nachvollziehen, wie das spiel gestartet wird ohne dass der user das will, aber wieso sollte das spiel ne schadhafte batchdatei erstellen, ohne das spiel selbst zu manipulieren?
Wie jetzt, bisher keine Reaktion von Valve? Die Verwechseln wohl gerade Sicherheit mit Verbraucherschutz?
Wenigstens ein "Danke für den Hinweis, wir prüfen das jetzt" an die Sicherheitsfirma wäre das Mindeste, wenn schon andere Firmen die Arbeit für Valve erledigen.
Das kommt also dabei heraus, wenn jeder machen kann was er will.
Wer weiß schon wieviele PCs inzwischen damit manipuliert wurden.
Bei XP ist das natürlich kein Problem, weil das eigentlich halbwegs brauchbare Sicherheitskonzept per Standardeinstellungen quasi umschifft wird, aber bei Vista und 7 sollte doch zumindest so eine "Chef, so ein Typ namens Steam will was am System ändern"-Meldung kommen, die man bestätigen muss? Ansonsten ist doch bestenfalls das Benutzerkonto betroffen...
@HorstMcDonald
Ich vermute mal nicht viele bis garkeine, da die Lücke ja "gerade" oder vor kurzem entdeckt wurde Wären viele Pc damit infiziert worden wäre sie bestimmt schon früher erkannt worden. Gibt ja Browser und Steam schon seid längerem
[Beitrag wurde 2x editiert, zuletzt von Complicative am 17.10.2012, 10:44]
Dem bericht nach muss man vielleicht nicht einmal ein programm starten, denn der beschriebene buffer-overflow beim TGA-datei laden bei der retail-installation (was normalerweise wahrscheinlich von über steam activierbaren spielen auf DVD benutzt werden wird) sorgt dafür, dass ein beliebiges stück Steam-programmcode (samt standardbibliotheken) mit beliebigen argumenten ausgeführt werden kann. Dadurch kann auch eine bösartige datei erstellt werden, "Eigene Dateien" geleert werden, oder eine unbemerkte VPN-verbindung zum hacker erstellt werden (letzteres zumindest dann wenn entsprechende programme installiert sind) - ohne irgendwelche sicherheitsabfragen vom system (und selbst wenn würden viele von diesen ständig genervte nutzer vielleicht sowieso alles zulassen). Allerdings wird Steam dann vielleicht ein installationsfenster anzeigen, also ganz unbemerkt geht es nicht.
[Beitrag wurde 3x editiert, zuletzt von The_Underscore am 17.10.2012, 12:08]
Wie jetzt, bisher keine Reaktion von Valve? Die Verwechseln wohl gerade Sicherheit mit Verbraucherschutz?
Wenigstens ein "Danke für den Hinweis, wir prüfen das jetzt" an die Sicherheitsfirma wäre das Mindeste, wenn schon andere Firmen die Arbeit für Valve erledigen.
Das kommt also dabei heraus, wenn jeder machen kann was er will.
Hast du wirklich etwas anderes erwartet? In einer Welt, in der Gabe Newell schon Lobeshymnen gesungen bekam, als er eine Nachricht rausgeschickt hat das Steam gehackt, und Benutzerdaten ausgelesen wurden, was eigentlich selbstverständlich ist?
Es ist ja anscheinend noch nichts passiert. Es besteht also noch lange kein Grund zur Eile...
@Quad: Was genau willst du denn damit bezwecken, das du jetzt auf einmal überall solche zynischen Trollcomments abgibst? Das ändert rein garnichts an der Tatsache, das die Kritik an Valve oder dem dazugehörigen Portal ihre Daseinsberechtigung hat.
@Northernstar: hier geht es nicht um die Sicherheit deines Steamaccounts, sondern um die Sicherheit deines Computers. Und die hat überhaupt nichts mit dem SteamGuard zu tun...
[Beitrag wurde 3x editiert, zuletzt von RATman am 17.10.2012, 12:26]
Ist ein normaler Umgang von Softwarefirmen mit solchen Meldungen. Erstmal abwarten und die PR-Abteilung eine entsprechende Strategie entwickeln lassen.
Ich kann mir gut vorstellen, dass Valve das gerade exakt genauso machen wird. Immerhin haben sie keine Übung im Umgang mit solchen Meldungen. Aber ich bin mir sicher, dass Valve das halbwegs schnell beheben wird. Müssen eher, immerhin gab es in Vergangenheit bereits einige erfolgreiche Angriffe auf die Steam-Infrastruktur.