Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsValve: Source-Engine-Lücke macht(e) PCs über Steam angreifbar
Ein Fehler in Valves Source Engine macht es möglich, fremde PCs über den Mittelsmann Steam zu kapern, wenn auf dem Ziel-System eine Steam-Einladung aufgerufen wird. Das hat der Twitter-Nutzer „Florian“ (@floesen_) jetzt öffentlich gemacht – nachdem er die Lücke bereits vor zwei Jahren an Valve gemeldet hatte.
Was lernt man daraus.
Wenn jemand auf eine kritische Sicherheitslücke draufkommt fährt er besser damit die Information and Dritte zu verkaufen. Nicht an das betroffene Unternehmen.
Dem dort präsentierten Screenshot zufolge wurde die Lücke bereits am 5. Juni 2019 an Valve gemeldet. Der Konzern hätte ihn schlichtweg „ignoriert“, gab Florian gegenüber Motherboard zu verstehen.
[...]
Seine Belohnung hat Forian inzwischen zwar erhalten und die Lücke wurde in ausgewählten Source-Engine-Spielen mittlerweile geschlossen. Mindestens Counter-Strike: Global Offensive weist sie aber immer noch auf
...die Lücke wurde in ausgewählten Source-Engine-Spielen mittlerweile geschlossen. Mindestens Counter-Strike: Global Offensive weist sie aber immer noch auf.
In welchen Spielen wurde sie denn bereits geschlossen und in welchen Spielen existieren sie noch außer in CS:GO und TF2? Was ist mit Left 4 Dead 1/2?
Ok, immer genau lesen . Sie wissen es selber nicht:
We can currently only verify this specific exploit in CS:GO. We can not say for sure if and when things have been patched in other games throughout the time without us being notified about it.
Da arbeiten auch nur ganz normale Menschen, denen Fehler unterlaufen können oder die mal Bugs übersehen können. Selbst der beste Entwickler bekommt keine 100% fehlerfreien Programme hin, erst recht nicht bei so komplexen Projekten wie einer Spieleengine.
Die Ignoranz von Valve gegenüber Ihrer Cash Cow CS:GO ist echt frustrierend. Ständig neue Spielerrekorde und Valve macht einfach nix. Zig andere Bugs im Spiel werden ebenfalls nicht gefixt.
What is this about? The post is about a bug in the source engine that allows attackers to remotely execute anything on your computer simply by getting you to click on a game invitation. This can be used to infect your system and eventually taking control over it.
Am I affected? Invitations that make you start any source engine game can be used to carry out the exploit. So as soon as you own a source engine game you might become a victim of this kind of malicious invitation.
So is this why I got random game invites over the last x months? Most likely no. I can definitely imagine that other researchers/hackers found out how this works too. If there are any, I am pretty sure that it is only very few though. This is definitely not something that is publicly known and used for common scam attempts.
Why don't you just disclose it? Well, I really want to share the technical details, but at the same time I do not want to put people at risk. I think that this is very dangerous and dropping such an exploit would have devastating effects.
Given the information on this topic now, is there any chance that people are going to find out how it works? I am quite sure that skilled people could find out how it works, but not necessarily because of anything that I posted. Keep in mind that I did not share technical details. Also, I think that the people who are able to search for this kind of bugs in the first place could most likely find other exploits in the source engine as well.
Are other operating systems such as Linux and macOS affected? I did not test it on any platform other than Windows but due to the technical nature of the bug I think they might be affected as well. Take this with a grain of salt though.
Does an antivirus help? No.
Is this bug difficult to fix? No.
What can I do to prevent this from happening to me? The chances of this happening to you are minimal. If you are still paranoid, make sure that you do not blindly accept friend requests and click on game invitations.
Die Ignoranz von Valve gegenüber Ihrer Cash Cow CS:GO ist echt frustrierend. Ständig neue Spielerrekorde und Valve macht einfach nix. Zig andere Bugs im Spiel werden ebenfalls nicht gefixt.
Da arbeiten auch nur ganz normale Menschen, denen Fehler unterlaufen können oder die mal Bugs übersehen können. Selbst der beste Entwickler bekommt keine 100% fehlerfreien Programme hin, erst recht nicht bei so komplexen Projekten wie einer Spieleengine.
Vielleicht sollte man dann in Zukunft gleich ein Ultimatum mitschicken, so a la "90 Tage, bis dahin cash, Veröffentlichung nach weiteren 30 Tagen wenn nicht gefixt". Die Branche kapiert es einfach nicht. Das läuft alles nach dem Motto "Wo kein Kläger da kein Richter". Aber so was https://hackerone.com/reports/391217 wird natürlich zügig gefixt. Da kostet es ja das eigene Geld.
womit du leider Recht hast - aber als Geisel (in dem Fall von Valve) wäre mir das Wumpe
Nachtrag 18.04.2021: Wie man sieht gibt es Szenarien in denen eine andere Herangehensweise hilfreich ist. Manchmal!!! heiligt eben doch der Zweck die Mittel.
@DarkInterceptor : Irgendwie kann mir nicht vorstellen das diese Lücke ohne öffentlichen Druck jetzt gefixt worden wäre nachdem sie 2 Jahre existent war. Du?
Ich muss gerade an die zahlreichen Forenthemen denken wo Nutzer mit 2FA+SteamGuard behaupteten ihre Items wurden gestohlen und das sie nie einem Handel bestätigt haben weil er mitten in der Nacht geschah wo geschlafen wurde oder es während der Arbeitszeit passierte.
Und wenn man nun liest das GoodGuyVolvo jahrelang (absichtlich) "pennt" dann hat dies irgendwie einen Faden Beigeschmack wie das berüchtigte Schlangeöl.
So wie ich Valve kenne war das am Ende eine Lücke die sie mit Source 2 eh schließen wollten und sie deshalb untätig waren. Nur dass es bei der Ausrollung von Source 2bei den meisten Titeln ja nicht wirklich voran geht. Macht das Problem unter dem Strich natürlich nicht kleiner. Es gab ja auch immer mal wieder ausführbare Makros auf custom servern ingame, welche viel zu viel Zugriff auf den Rechner gewährt haben.
@Axxid Vermutlich weil es bei Epic eine solche Funktion nicht gibt, die eine Schwachstelle aufweisen könnte * scnr *. Das Party-System hat zumindest bei den wenigen Titeln die ich in der Vergangenheit mit Epic-Nutzern spielen wollte nicht geklappt.
Unter dem Strich bleibt, dass die Produktpflege durch Valve abseits von Dota2 sehr zu wünschen übrig lässt (HL:Alyx ausgenommen, da hab ich keinen insight).
. Sie wissen es selber nicht:
