News Schwere Sicherheitslücke: From Software deaktiviert Multiplayer in allen Dark Souls

[floh667]

Wehe, wenn das den Release von Elden Ring verzögert! Ich musste im ersten Quartal noch Urlaub nehmen und

Wieso nimmt man sich für ein Spiel Release Urlaub? Ist ja nicht so dass die jüngere Vergangenheit gezeigt hat wie verlässlich solche Daten sind und man anhand derer besser nicht plant.

 

[Christi]

der online modus (invaded werden, nachrichten von anderen lesen, hilfe holen etc.) gehört für mich zu dark souls dazu. ist imho ein sehr wichtiges spielelement. spiele selbst die games immer auf playstation und immer online.
gerade irgendwo, wo man es nicht gebrauchen kann, von anderen spielern überfallen zu werden trägt ungemein zu atmosphäre bei.
habe erst vor paar wochen den zweiten teil als "scholar of the first sin edition" durchgezockt. ohne online modus hätte ich das game pausiert bis die server wieder funktionieren.

grüße

 

[h00bi]

OK , man kann jetzt entweder , davon ausgehen , das , das UEFI gebrickt wird , was sich aber einfach wiederherstellen ließe , bei Boards die Qfash Plus , oder USB Flash unterstützen.

ich halte den Brick Teil weiterhin für eine Ente.
Keine Security Seite berichtet darüber, dass es einen Exploit gibt der mal kurz aus Windows raus das UEFI zerhageln kann.

Beim CIH war auch nur eine spezielle Chipsatzserie anfällig und das auch nur wenn auf dem Board der Schreibschutz manipulierbar war.

 

[Abe81]

Wieso nimmt man sich für ein Spiel Release Urlaub?

59 Tage Resturlaub aus den letzten Jahren, der Ende des Quartals verfallen wäre. Entweder ich hätte die ersten zwei Wochen oder die letzten zwei des Quartals arbeiten müssen. Da habe ich die ersten gewählt, weil Eldenring erst Ende Februar erscheint.

Wenn Familie und Freunde nicht wollen/können, sucht man sich eben virtuelle.

Aber ernsthaft: „Richtigen“ Urlaub würde ich niemals fürs Computerspielen opfern - und ich hoffe auch sonst niemand.

 

[Wasserhuhn]

Faktisch falsch und nicht gang und gebe. Da ich die Source-Engine schon lange kenne würde ich gerne meine Wissenslücken auffüllen. Gibts zu der Behauptung auch eine Quelle?

Ich war sehr lange auf AM aktiv und bin da entsprechend bekannt gewesen.
Im IRC gab es einen gewissen Nathaniel, der auch namentlich von Valve in Patchnotes genannt wird, weil er, zumindest zu meiner Zeit, regelmäßig Lücken gefunden und gemeldet hat.
Es interessierte mich sehr, vor allem warum er das macht, weil es zu der Zeit kein Bounty-Programm gab, sondern es völlig dreist von Valve nur einen dämlichen Hut bei TF2 gab.
Im Laufe des Gespräches fragte ich ihn, wie einfach es für ihn ist solche Lücken zu finden bzw. wie viel da darauf geachtet wird, dass solche Sachen nicht passieren können.
Mein Bereich und meine Erfahrung war nicht im Finden von Sicherheitslücken, daher hatte und habe ich in dem Bereich null RE-Kenntnisse, seine Einschätzung interessierte mich daher.
Seine Aussage blieb mir im Gedächtnis, weil er nüchtern sagte, dass es in der Source-Engine solche Mängel "im dreistelligen Bereich" geben würde.

Ich habe von dem Gespräch keine Screenshots oder Ähnliches. Ich hoffe aber meine Aussage, bzw. seine, konnte dir irgendwie helfen.

EDIT:
Ich habe mal gegogglet, ob ich diesen Herrn finden könnte.
Hier wird er referenziert.
https://steamdb.info/blog/valve-security-one-year-on/

 

[uWt-oMG-UMD-YfK]

Ich war sehr lange auf AM aktiv und bin da entsprechend bekannt gewesen.

Ich war sehr lange im Kitkat in Berlin aktiv und die Damenwelt vereehrt mich dort bis heute.

Es interessierte mich sehr, vor allem warum er das macht, weil es zu der Zeit kein Bounty-Programm gab, sondern es völlig dreist von Valve nur einen dämlichen Hut bei TF2 gab.
Im Laufe des Gespräches fragte ich ihn, wie einfach es für ihn ist solche Lücken zu finden bzw. wie viel da darauf geachtet wird, dass solche Sachen nicht passieren können.
Mein Bereich und meine Erfahrung war nicht im Finden von Sicherheitslücken, daher hatte und habe ich in dem Bereich null RE-Kenntnisse, seine Einschätzung interessierte mich daher.

deine persönliche Meinung die übrigens konträr zu dem von dir später verlinkten Blogpost ist.

Seine Aussage blieb mir im Gedächtnis, weil er nüchtern sagte, dass es in der Source-Engine solche Mängel "im dreistelligen Bereich" geben würde.

das nennt man Hörensagen (https://de.wikipedia.org/wiki/Hörensagen) und wird zb. vor Gericht sich nicht mal verwertet da dies keinen belastbaren Wert besitzt.

EDIT:
Ich habe mal gegogglet, ob ich diesen Herrn finden könnte.
Hier wird er referenziert.
https://steamdb.info/blog/valve-security-one-year-on/

Sicher den richtigen Link gepostet zu haben? Dort ist man positiv auf Valves Reaktion auf Heartbleed angetan. Auch geht es übrigens auch zum großen Teil gar nicht um die Source1 Engine sondern um Steam. Der Teil der sich um die Source1 Engine handelt ließt sich halt dass der Lizenznehmer ihre Spiele auch updaten müssen und Valve das nicht einfach "drüberbügelt". Dass Source1 aktuell Sicherheitslücken aufweist wird dort nicht behauptet.

 

[Shakyor]

Natürlich heftig.
Abet sowas betrifft mich zum Glück gar nicht.
Souls wird immer Offline und Solo gespielt!

 

[Wasserhuhn]

Hallo @uWt-oMG-UMD-YfK,

ich lese aus dem Beitrag heraus, dass du wenig Interesse an einem Gespräch hast.
Ansonsten würde es gar nicht so einen persönlichen Angriff geben wie direkt am Anfang.
Zur Klarstellung, Alliedmods ist keine Bar, und mit "aktiv" meinte ich, dass ich da jahrelang einer der bekanntesten Nutzer war, jahrelange Erfahrung im Reverse-Engineering habe (wenn man möchte kann man sich auch meine anderen Beiträge hier durchlesen), und, weil das Gesprächsklima schon so vorgesetzt worden ist, und ich mir daher den Seitenhieb nicht verkneifen kann, weiß, dass es nicht "Maleware" heißt.
Unabhängig davon sah ich das nicht als Statussymbol, wie du scheinbar das Verkehren mit vielen Frauen, sondern erwähnte das annekdotisch als Kontext dazu, wie ich zu dem Gespräch mit dieser Person kam.
Meine persönliche Meinung ist gar nicht konträr zu dem Blog Post (den ich explizit dafür verlinkt habe, weil in diesem von meinem damaligen Gesprächspartner/meiner Quelle berichtet wird).
Es wird die Zwei-Faktor-Authentifizierung gelobt und anderer Kram, aber gleichzeitig gesagt, dass sich an der Grundsituation nichts geändert hat. Gerade dass hochspezialisierte Arbeit mit virtuellen Gütern belohnt wird, stößt dem Autor nachwievor sauer auf und gibt meiner Meinung nach Einblick in Prioritäten und Kultur von Valve. Es wird auch verglichen wie andere Unternehmen das machen.
Der Wikipediaartikel, und die Idee, dass ich hier was den Standard betrifft vor Gericht stünde, nehme ich mit Humor. Der Unterschied liegt aber darin, dass ich kein Interesse habe, und auch nicht verpflichtet bin Überzeugungsarbeit zu leisten, ich aber aus Höflichkeit auf meine Quelle verwiesen habe. Da du dich ja hiermit indirekt als Gericht siehst, was ziemlich anmaßend ist, kannst du ja Herrn Theis gerne befragen.
Das mit dem Drüberbügeln fand ich lustig, weil Valve selber Probleme hatte seine Branches zu updaten. Jahre nach dem Fixen eines Bugs, mit dem man über leere Query-Pakete Server komplett lahmlegen konnte, war dieser Fix auf dem L4D2-Branch noch immer nicht ausgerollt worden.
Als ich das das letzte Mal überprüft hatte (so 2019 herum) waren Communityserver sogar immernoch anfällig, die offiziellen von Valve aber nicht, was mich darauf schließen lässt, dass entsprechende Pakete einfach in Valves Firewall geblockt worden sind, anstatt den Softwarefix auszurollen.

Der Teil der sich um die Source1 Engine handelt ließt sich halt dass der Lizenznehmer ihre Spiele auch updaten müssen und Valve das nicht einfach "drüberbügelt",

Das steht da übrigens überhaupt gar nicht.
Da steht, dass Valve überhaupt keine Informationen über Exploits ausgibt, und dass Leute explizit den Finder eines Exploits fragen mussten. Mit dem Hinweis, dass diese das auch aktiv tun sollen.
Sowas ist ein kleines Desaster.
Und es steht da sogar die Erfahrung, die ich gemacht habe, dass innerhalb der Engine-Branches der eigenen Produkte nicht rechtzeitig geupdatet wird.

Ich weiß auch nicht wie du darauf kommst, dass der Artikel sich positiv über Valves Reaktion zu Heartbleed äußert.
Erstens wird da gar nicht darüber gesprochen, sondern im verlinkten Ursprungsartikel, darüber hinaus sagen sie da das Gegenteil.

In recent months a critical bug was found within OpenSSL, Heartbleed; this bug was huge – it affected a lot of the working web at the time it was published (it probably still affects a significant number of websites), and it allowed malicious users to easily read the memory of systems which were vulnerable to it. Unfortunately for Valve, the details on the Heartbleed bug were published when half of the company was in Hawaii; because of this, we believe it took approximately 24 hours for Valve to patch their servers (the bug was first mentioned, along with a patch to OpenSSL, on April 7th at 10:27 PDT[3] – though it did take a few hours for news of Heartbleed to spread; our own IRC logs indicate reports of Steam being patched around 10:28 PDT on April 8th). We believe this delay in action is unacceptable for a company like Valve – whose systems process sensitive data for millions of customers and partners.

During this time we caught the occasional mention that Valve’s servers were indeed leaking sensitive information (such as partner session IDs, logins and cleartext passwords), however upon patching the bug Valve did not mandate a password reset. As a result, an unknown user changed a different app’s name up to three days after the servers were patched[4] – proving that Steam Partner credentials were indeed exposed and abused during Heartbleed. We understand Valve mandated password resets for some Steam partner users, however we’ve had reports from many other Steam partners that their passwords had not been reset – leaving potentially compromised partner accounts accessible to this day. Additionally, Valve have never made an announcement to partners or customers with regards to what data may have been exposed via Heartbleed. We believe Valve’s response to Heartbleed was and remains unsatisfactory.

Quelle: https://steamdb.info/blog/valve-security-open-letter/

 

[Zitterrochen]

Da die Meldungen in der Community zur dieser neuen Lücke selbst erst wenige Tage alt sind

9 Monate = wenige Tage ?

 

[7hyrael]

schwerstes Spiel

Ein Mythos, mehr nicht. Vor 20 Jahren hätte das keiner so betitelt, sondern einfach im Verhältnis zu den üblichen, nicht wie heute unendlich weichgespülten Games als ganz normal wahrgenommen. Wer Ninja Gaiden Black bspw. gespielt hat wurde davon auch nicht schwer überrascht. Oder God of War und Devil May Cry auf höheren Schwierigkeitsgraden...

 

[evilhunter]

@Zitterrochen

Zeig mal bitte wo du die 9 Monate her hast.

 

[kokiman]

@johnieboy

Das ist natürlich Mist wenn sonst gar nicht reagiert wird.war mir nicht bekannt.

@kokiman
Da die Meldungen in der Community zur dieser neuen Lücke selbst erst wenige Tage alt sind und die Lücke bis dato wohl unbekannt war stimmt es anscheinend doch, dass Diesmal schell reagiert wird.
Wenn du genauere Infos hast kannst du gern einen Link da lassen

Dieser Artikel samt den Screenshot
https://www.theverge.com/2022/1/22/...ote-execution-exploit-rce-exploit-online-hack

 

[uWt-oMG-UMD-YfK]

ich lese aus dem Beitrag heraus, dass du wenig Interesse an einem Gespräch hast.

wie vorhin, lediglich deine persönliche Meinung.

Ansonsten würde es gar nicht so einen persönlichen Angriff geben wie direkt am Anfang.

der da wäre? Meine Vergangenheit?

den Seitenhieb nicht verkneifen kann, weiß, dass es nicht "Maleware" heißt.

und?

Meine persönliche Meinung ist gar nicht konträr zu dem Blog Post (den ich explizit dafür verlinkt habe, weil in diesem von meinem damaligen Gesprächspartner/meiner Quelle berichtet wird).

dann elaboriere doch mal dass der Artikel eben nicht Value positiv gewogen ist, mit besonderen Blick auf die Konklusion:

the one example we have above, where we believe Valve failed to adequately communicate a security vulnerability, doesn’t give us enough data to make an objective observation on this point. Beyond those two points, we are happy with the work Valve has put in to security over the past year, and are excited to see what will happen in the coming year.

Es wird die Zwei-Faktor-Authentifizierung gelobt und anderer Kram, aber gleichzeitig gesagt, dass sich an der Grundsituation nichts geändert hat.

Das 2FA "Kram" im Sicherheitskontext ist bitte ich einzeln zu beleuchten.

Gerade dass hochspezialisierte Arbeit mit virtuellen Gütern belohnt wird, stößt dem Autor nachwievor sauer auf

Nein, da steht dass der Wert der Items nicht dem Wert entspricht den die Sicherheitslücken vom Entdecker selbst zugeschrieben werden.

Der Wikipediaartikel, und die Idee, dass ich hier was den Standard betrifft vor Gericht stünde

Oder was als Diskurs gilt und was nicht.

Da du dich ja hiermit indirekt als Gericht siehst, was ziemlich anmaßend ist, kannst du ja Herrn Theis gerne befragen

Da würde das Gericht gerne wissen was ein NBA Spieler jetzt damit zu tun hat.

Das mit dem Drüberbügeln fand ich lustig, weil Valve selber Probleme hatte seine Branches zu updaten. Jahre nach dem Fixen eines Bugs, mit dem man über leere Query-Pakete Server komplett lahmlegen konnte, war dieser Fix auf dem L4D2-Branch noch immer nicht ausgerollt worden

Quelle?

Als ich das das letzte Mal überprüft hatte (so 2019 herum) waren Communityserver sogar immernoch anfällig, die offiziellen von Valve aber nicht, was mich darauf schließen lässt, dass entsprechende Pakete einfach in Valves Firewall geblockt worden sind, anstatt den Softwarefix auszurollen.

Quelle, bzw. Code?

Das steht da übrigens überhaupt gar nicht.

auf der Website:

directly with various Source 1 licensees to fix the vulnerabilities identified in their respective products.

Ich weiß auch nicht wie du darauf kommst, dass der Artikel sich positiv über Valves Reaktion zu Heartbleed äußert.
Erstens wird da gar nicht darüber gesprochen, sondern im verlinkten Ursprungsartikel, darüber hinaus sagen sie da das Gegenteil.

24 Stunden um X Standorte mit X Servern zu patchen, weltweit während der Betrieb weiter geht? War da jemand schneller?

bezüglich des zweiten Absatzes. unbefriedigend (unsatisfactory) ≠ungenügend (insufficient)

 

[Zitterrochen]

Zeig mal bitte wo du die 9 Monate her hast.

Aus dem Post auf den du geantwortet hast LOL

https://www.reddit.com/r/darksouls3...text&utm_name=pcgaming&utm_content=t1_htr8ged

 

[Wasserhuhn]

dann elaboriere doch mal dass der Artikel eben nicht Value positiv gewogen ist, mit besonderen Blick auf die Konklusion:
Given we are only aware of one example, we don’t have enough data to objectively evaluate whether there has been an overall improvement or not on the topic of Valve’s communication.

Der Artikel ist anders herum argumentiert.
Man geht von der schlechten Grundsituation aus dem ersten Artikel aus, und fragt sich, ob jetzt das eine schlechte Beispiel reicht, um zu sagen ob sich an der Situation überhaupt was geändert hat.
Das ist im Text klar entnehmbar

Quelle, bzw. Code?

Klar, Exploits teilen. Damit man dann Probleme mit Valve hat, aber auch mit CB als Plattform.
Einmal hätte das für CB selber Konsequenzen, zweitens ist es gegen die Forenregeln.
Was ich grob sagen kann, ist, dass das hier ausreicht um die Pakete rauszufiltern.
https://forums.alliedmods.net/showthread.php?t=151551
Ja, 2011. Und L4D2-Server waren nach meinem Test 2019 noch betroffen.

Nein, da steht dass der Wert der Items nicht dem Wert entspricht den die Sicherheitslücken vom Entdecker selbst zugeschrieben werden.

[...]Last year we stated the idea of rewarding researchers with economy items was “insulting”, and suggested monetary rewards are the best solution. We still think that is the case[...]

Gerade dass hochspezialisierte Arbeit mit virtuellen Gütern belohnt wird, stößt dem Autor nachwievor sauer auf

bezüglich des zweiten Absatzes. unbefriedigend (unsatisfactory) ≠ungenügend (insufficient)

Ich "kann Englisch" (C2), und leider ändert das aber nichts an der Position des Autors und der Beurteilung, weil ich das nicht falsch aufgenommen habe.

directly with various Source 1 licensees to fix the vulnerabilities identified in their respective products.

Hast du auch völlig aus dem Kontext gerissen.
Kritikpunkt ist nicht an die Lizenznehmer, dass sie sich um ihren eigenen Kram kümmern sollen, sondern dass Valve diese Lizenznehmer nicht über Fehler in Produkten, die sie von Valve beziehen, informiert. Und diese gezwungen sind beim Finder selber zu fragen. Einmal geht das überhaupt nicht, es ist ein absolutes Unding, zweitens gibt es hier rechtliche Probleme, weil nicht klar ist, ob man die Informationen überhaupt teilen darf (generell nicht). Im Zweifel steht man also da als Lizenznehmer und benutzt ein Produkt über dessen Fehler man nicht informiert wird vom Hersteller, der einen Fehler kennt, und darüber informieren muss, und kann damit der eigenen Verpflichtung nicht nachkommen sein eigenes Produkt sicher zu halten und die Kunden zu informieren.

Ich verstehe nicht, was diese Aussagen sollen.
Ich habe meine Meinung kund getan, und offen gesagt, dass ich diese nicht für Dritte nachvollziehbar selber belegen kann. Einmal aus Gründen der Vertraulichkeit (siehe den Exploit), zweitens aber auch, weil es aus einem Gespräch mit einem Fachkundigen war. Ich war aber so frei diesen zu benennen, und auch auf ihn zu verweisen, praktischerweise enthält der eine Artikel seine EMail-Adresse.
Es steht also jedem frei mir entweder zu glauben, oder selber Nathaniel Theis nachzufragen.

Was aber völlig hirnrissig ist, und ich verdächtige hier einfache Trollerei, ist, jemanden mehrmals persönlich anzugreifen, selber offenkundig vom Thema null Ahnung zu haben, einen Artikel nicht lesen zu können, und mir Wörter in den Mund zu schieben.

Für unnötige Streitereien mit Leuten ist mir meine Zeit zu Schade. Da musst du dir jemand anderen suchen.
Einen schönen Abend noch.

Für den interessierten Dritten sind das alles Informationen und Erklärungen genug.

 

[evilhunter]

Dieser Artikel samt den Screenshot
https://www.theverge.com/2022/1/22/...ote-execution-exploit-rce-exploit-online-hack

Auch wenn es bedauerlich ist, dass die Meldung ignoriert wurde ist auch da nicht herauszulesen wie lange die Entdeckung her ist. Deshalb mal abwarten was noch kommt. Wäre dann definitiv bescheiden.

@Zitterrochen

Es hätte ausgereicht den Post zu lesen um zu verstehen, dass es nicht der gleiche Exploit ist. LOL
Deshalb wenige Tage = gut.

 

[Zitterrochen]

@evilhunter Man sollte halt auch die Kommentare unter dem Redditpost lesen.

Aber ja du hast recht schönen Abend

 

[Hirschschnaps]

Ja keine hilfe holen. Alles solo machen

Hilfe hab ich mir bisher in keinem Teil geholt aber immer gerne geholfen

 

[Apocalypse]

Wobei ich zugeben muss, dass Admin-Rechte auf einem Windows-Gaming-PC wohl recht üblich sein dürften. Erspart halt viele Probleme bzw. macht das Leben einfacher, aber auch gefährlicher.

Dieser Tag will alleine schon der Kopierschutz und auch der Anti-Cheat mit Root rennen. ;-)

 

[Kettensäge CH]

Ich habe das ganze auf resetera verfolgt als es bekannt wurde.

Moment, es gibt Menschen die sich freiwillig resetera antun? Krass.

Zum Multiplayer, ich hab nur die alten Teile im Kopf und war da nicht immer was mit Cheatern und Moddern, die sich einen Spass daraus machten, bei anderen Leuten ins Spiel einzusteigen und dann Schaden zu machen? Aber vielleicht verwechsle ich da ja was, gabs da only-PvP modi und sowas?