Steam: Nutzer waren über zehn Jahre durch Sicherheitslücke angreifbar

Steam: Nutzer waren über zehn Jahre durch Sicherheitslücke angreifbar

Benutzer der Gaming-Plattform Steam lebten über 10 Jahre stets mit dem Risioko, über eine vorhandene Sicherheitslücke angegriffen zu werden. Die Schwachstelle wurde erst kürzlich erkannt und sie wurde zudem durch vorangegangene Maßnahmen vom Betreiber Valve bereits unwissentlich fast geschlossen.

Wie Tom Court, Leiter der Sicherheitsforschung bei Context, in einem Bericht veröffentlichte, wäre es bereits seit zehn Jahren mit relativ wenig Aufwand möglich gewesen, Schadsoftware unter Windows direkt an alle zu einem bestimmten Zeitpunkt aktiven Steam-Clients einzuschleusen und dabei in den Userrechnern zu verankern. Bei teilweise bis zu 15 Millionen gleichzeitig eingeloggten Nutzern auf der Plattform, hätte hier sogar in kürzester Zeit ein riesiges Botnetz entstehen können. Ein Angriff setzte nur ein aktives Laufen eines verwundbaren Clients auf einem Computer voraus. Allerdings ist nicht bekannt, ob es je Angriffe über den vorhandenen Exploid gegeben hat.

Erst ein Update vom Juli 2017 sorgte für zusätzliche Sicherheit, denn Valve führte zu diesem Zeitpunkt den Schutzmechanismus Address Space Layout Randomization (ASLR) ein. Die Technik unterband, dass Funktionen von Programmen an vorhersehbaren Stellen im Arbeitsspeicher abgelegt und mittels fremder Codes zum Ausführen unerwünschte Aktionen genutzt werden können. Das erschwerte das Ausnutzen der vorhandenen Sicherheitslücke. Ein Missbrauch des Exploids hätte dank des Schutzes nun lediglich nur noch zu einem Absturz der Anwendung geführt.

Tom Court informierte Valve Corporation im Februar über die Lücke. Die Firma reagierte prompt. Die Entwickler veröffentlichten bereits acht Stunden nach der Meldung eine gefixte Beta-Version des Clients. Mit dem jüngsten Steam-Update Anfang April diesen Jahres jedoch ist nun auch die Crash-Gefahr gebannt. Die Sicherheitslücke wurde komplett geschlossen.

Bildquelle: Tomasz_Mikolajczyk, thx! (CC0 Public Domain)

Related Post

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.