|
›› Willkommen! ›› 96.805.624 Visits ›› 18.316 registrierte User ›› 151 Besucher online (0 auf dieser Seite)
|
|
|
Steam Sicherheitslücke in Steam-URLs entdeckt
17.10.2012 | 00:01 Uhr | von Trineas
|
11.235 Hits
41 Kommentare 1 viewing
|
|
Die auf Computersicherheit spezialisierte Firma ReVuln hat in einem mehrseitigen Bericht eine Sicherheitslücke rund um das Steam-Browser-Protokoll aufgedeckt. Dabei handelt es sich um Links die mit "steam://" beginnen und Aktionen wie die Installation oder auch das Starten von Spielen durchführen. Speziell im Zusammenhang mit dem Webbrowser Safari, der keine Warnung bei der Ausführung eines solchen Kommandos gibt, könnte es zu Gefahren kommen.
Zitat: Original von Fazit der Studie In this paper we proved that the current implementation of the Steam Browser Protocol handling mechanism is an excellent attack vector, which enables attackers to exploit local issues in a remote fashion. We also detailed as proof of the effectiveness of this new attack vector, five new remotely exploitable issues, including one in Steam, and two in widely used game engines (Source and Unreal). Because of the big audience (more than 50 million people), the support for several different platforms including Windows, MacOs and Linux and the amount of effort required to exploit bugs via Steam Browser Protocol commands, Steam can be considered a high-impact attack vector.
| Gleichzeitig haben Spiele oft weitreichende Berechtigungen, so kann die Source-Engine etwa sogenannte Batch-Dateien erstellen, die beim Start von Windows automatisch ausgeführt werden. Es wäre also möglich, dass ein Angreifer mit einer Steam-URL ein Spiel startet und dieses dann eine solche Batch-Datei mit Schadcode erstellt. Das Unternehmen hat laut eigenen Angaben Valve von den Sicherheitslücken in Kenntnis gesetzt, bisher aber keine Antwort erhalten. Wer in der Zwischenzeit auf Nummer sicher gehen möchte, sollte das Steam-Protokoll für seinen Browser deaktivieren.
|
Zitat: Original von alex0809 Naja, wer irgendwelche 100 Zeichen lange Steam:-Links auf komplett fremden Webseiten anklickt sollte sich nicht wundern wenn sowas passiert. Und das scheint mir die einzige Methode zu sein.
Aber ist natürlich trotzdem ein Problem, gibt ja genug PC-Nutzer die komplett sorglos surfen.
| Man kann ja einen URL-Shortener benutzen (wie goo.gl o.ä.), da weiß man dann schon nicht unmittelbar was sich hinter dem Link verbirgt.
Ansonsten verweist das Dokument auch noch auf ein Proof of Concept Video.
|
|
17.10.2012, 18:55 Uhr |
|
|
Zitat: Original von λ Blutspender λ Ein "Danke für den Hinweis, wir prüfen das jetzt." ist meiner Meinung nach eine ziemlich beschissene Antwort.
| Wieso soll das eine beschissene Antwort sein, demjenigen, der das gemeldet hat, wenigstens den Eingang und die Bearbeitung des Sachverhaltes zu bestätigen. Sowas gehört eigentlich zum guten Ton... wenn schon andere die Arbeit machen, dann kann man wenigstens mal Danke sagen.
|
|
17.10.2012, 23:19 Uhr |
|
|
Zitat: Original von RATman Zitat: Original von λ Blutspender λ Ein "Danke für den Hinweis, wir prüfen das jetzt." ist meiner Meinung nach eine ziemlich beschissene Antwort.
| Wieso soll das eine beschissene Antwort sein, demjenigen, der das gemeldet hat, wenigstens den Eingang und die Bearbeitung des Sachverhaltes zu bestätigen. Sowas gehört eigentlich zum guten Ton... wenn schon andere die Arbeit machen, dann kann man wenigstens mal Danke sagen.
| Oder aber man setzt sich gleich an eine ordentliche Problemlösungsstartegie, die man dann, zusammen mit Verweis und Dank an die Problementdecker, groß veröffentlicht.
Wenn ich an so einem Problem arbeiten würde und alles was daher kommt wäre ein "Jo, Danke", würde ich mich etwas verarscht fühlen. Ich würde wollen, dass man direkt Kontakt mit mir aufsucht um die Details zu besprechen und an der Lösung zu arbeiten.
Und wer weiß, vielleicht machen sie das ja auch schon. Nur weil keine öffentliche Antwort rauskam, heißt das ja nicht, dass nicht schon eine Zusammenarbeit stattfindet.
|
|
17.10.2012, 23:25 Uhr |
|
|
Es war nicht von einer öffentlichen Antwort die Rede, sondern von einer Rückmeldung an die Jungs die das Entdeckt haben. Und ein "jo Danke, wir schauen gleich mal rein" ist ein ganzes Stück mehr, als das was nun bisher kam, nämlich nix. Da würde ich mir noch viel mehr verarscht vorkommen, was wohl auch der Grund war, das dann zu veröffentlichen.
|
|
17.10.2012, 23:40 Uhr |
|
|
Zitat: Original von RATman Es war nicht von einer öffentlichen Antwort die Rede, sondern von einer Rückmeldung an die Jungs die das Entdeckt haben. Und ein "jo Danke, wir schauen gleich mal rein" ist ein ganzes Stück mehr, als das was nun bisher kam, nämlich nix. Da würde ich mir noch viel mehr verarscht vorkommen, was wohl auch der Grund war, das dann zu veröffentlichen.
| Und das weist du woher? Ohne öffentliche Stellungnahme kann ja keiner wissen, was hinter den Fassaden los ist.
|
|
18.10.2012, 01:55 Uhr |
|
|
Naja, es wäre ziemlich dämlich, wenn Valve seinen Kunden nichtmal signalisiert, dass sie an der Schließung der Sicherheitslücke arbeiten.
Das was im Moment bei mir ankommt: Valve ist es vollkommen egal, dass andere Steam nutzen um die Computer der Nutzer zu hacken
Hochmut kommt vor dem Fall...
|
|
18.10.2012, 13:21 Uhr |
|
|
Zitat: Original von HorstMcDonald Naja, es wäre ziemlich dämlich, wenn Valve seinen Kunden nichtmal signalisiert, dass sie an der Schließung der Sicherheitslücke arbeiten.
| Das würde einem "Hey schaut mal, am unteren rechten Rockzipfel ist ein Loch was wir gerade stopfen, wenn irgendjemand da drin noch rumstochern will, nur zu!"
Es derart öffentlich zu machen das es ein Problem mit der Steam URL gibt würde die Leute ja direkt auf den Fehler lenken, was ggf größeres Chaos und/oder mehr Schaden bedeutet.
|
|
18.10.2012, 14:13 Uhr |
|
|
Also die News zur Steam URL habe ich gestern allein auf 5 deutschen Computerseiten gelesen. Bei anderen Firmen ist man es gewohnt, dass sie was dagegen unternehmen. Bei Valve hat man inzwischen Angst, dass es noch viel mehr Sicherheitslücken gibt.
Was mit meinen Kreditkarteninfos passiert ist die Valve geklaut wurden weiß ich bis heute nicht...
|
|
18.10.2012, 14:57 Uhr |
|
|
|
18.10.2012, 15:13 Uhr |
|
|
Zitat: Original von λ Blutspender λ @Horst: Der Bericht ist vom 15. Oktober, was hast du dir erwartet? Sowas zu evaluieren und dann eine ordentliche Antwort zu bringen braucht etwas Zeit.
| Eine sofortige Antwort auf solche Meldungen ist bei JEDER seriösen IT-Firma Gang und Gäbe! Alles andere ist eine komplette Unverschämtheit.
|
|
18.10.2012, 15:38 Uhr |
|
|
Es gibt inzwischen erste Versuche, diese Lücke auzunutzen.
<< LINK ENTFERNT >>
Wenn man irgendwelche Daten rechts oben eingibt, wird per Steamlink angeblich Arma 3 installiert. Netter Versuch
Soviel zum Thema "is halb so schlimm mit der Sicherheitslücke"
|
|
18.10.2012, 22:13 Uhr |
|
|
Zitat: Original von RATman Es gibt inzwischen erste Versuche, diese Lücke auzunutzen.
...
| Wer auf so eine Seite reinfällt ist aber selber schuld.
|
|
18.10.2012, 22:32 Uhr |
|
|
Die Gier der Menschen und die Aussicht etwas kostenlos zu bekommen, schaltet viel öfter Gehirne ab, als du denkst.
|
|
18.10.2012, 22:55 Uhr |
|
|
Protipp: man muss eine URL nicht erst anklicken, um sie auszufuehren. Mit HTML und JavaScript werden taeglich zig URLs fuer euch indirekt aufgerufen, ohne dass ihr es merkt.
Alleine hlportal.de ruft 16 externe URLs auf, ohne dass die Besucher dieses wissen oder gar wollen (Facebook und Google wissen, dass ihr hier vorbeischaut).
Es reicht einfache eine infizierte Seite und schon ist man Opfer.
Kann an dieser Stelle nur NoScript empfehlen.
|
|
18.10.2012, 23:31 Uhr |
|
|
Mit dem Unterschied, das diese URL's nichts auf dem Rechner installieren können. Mit dieser Manipuilierten URL können die den Anschein erwecken, das hier ein SPiel installiert wird, inclusive original Steam Installationsdialog und allem drum und dran.
Wenn beim surfen eine Seite versucht dir etwas zu installieren, dann kommt ne Meldung die wohl kaum einer bestätigen würde. Bei einem Steam installationsdialog sieht die sache schon anders aus. Steam ist ja "vertrauenswürdig"... (nicht)
|
|
18.10.2012, 23:49 Uhr |
|
|
Ja eigentlich schon, denn genau darum geht es doch in dem Paper, dass ohne Warnung Dateien auf dem System installiert werden koennen.
Edit: Valve hat bereits erste Schritte unternommen. Das Problem bei Source-Games ist gefixed.
"Fixed a con_logfile ConVar exploit" - http://store.steampowered.com/news/9120/
|
|
19.10.2012, 00:46 Uhr |
|
|
Zitat: Original von tanfex Wer auf so eine Seite reinfällt ist aber selber schuld.
| Naja, klar, im Grunde hast Du Recht. Aber Du vergisst, das Steam nicht nur von Erwachsenen genutzt wird, sondern vor allem auch von Kindern. Da kann man nicht immer erwarten, dass sie sich schlau verhalten.
Darüber hinaus, kann ich mich an mindestens 4 Friends erinnern, die genau auf sowas reingefallen sind. Und die waren alle erwachsen.
So klein ist das Problem also nicht.
|
|
19.10.2012, 09:33 Uhr |
|
|
Zitat: Original von RATman Die Gier der Menschen und die Aussicht etwas kostenlos zu bekommen, schaltet viel öfter Gehirne ab, als du denkst.
| Vielleicht lernen Besagte dann mal, dass sie sich ein bisschen einschränken sollten. Wer sein Hirn (und NoScript) nicht nutzt, der wird früher oder später sehen, was dabei rauskommt.
@Horst: Du kannst dir ziemlich sicher sein, dass es VALVe nicht egal ist, was auf den Kunden-Rechnern passiert. Denn Kunden bringen Geld.
|
|
19.10.2012, 17:15 Uhr |
|
|
Zitat: Original von λ Blutspender λ Zitat: Original von RATman Die Gier der Menschen und die Aussicht etwas kostenlos zu bekommen, schaltet viel öfter Gehirne ab, als du denkst.
| Vielleicht lernen Besagte dann mal, dass sie sich ein bisschen einschränken sollten.
| Genau. Manchmal sollte man doch etwas skeptischer sein wenn es etwas gratis gibt. Da gibt es meistens einen Haken.
|
|
19.10.2012, 18:51 Uhr |
|
|
Zitat: Original von qu4d Was? Schlechte Nachrichten bei Steam? Ich dachte, dies hier sei eine Fanboyseite?!
scnr
| Jaja geh C0d zocken und mach ein paar 360° n0 sk0pez
geh woanders Flamen
|
|
21.10.2012, 23:34 Uhr |
|
Du musst dich einloggen, um Kommentare schreiben zu können Du hast nicht die erforderlichen Rechte einen Kommentar zu schreiben. Solltest du eine Account-Strafe haben, findest du nähere Informationen in deinem Profil unter Verwarnungen.
|
|
|
|