Channel Header
2447259

Sicherheitslücke in Steam wird von Valve offenbar ignoriert

08.08.2019 | 15:44 Uhr | Michael Söldner

Mit Änderungen in der Registry können Angreifer die Rechte von Steam manipulieren oder den Client schließen.

Der Sicherheitsforscher Vasily Kravets hat eine Zero-Day-Lücke in der Windows-Version des Steam-Clients aufgedeckt. Mit nur wenigen Kommandos können Angreifer damit schadhaften Code auf dem Rechner ausführen. Ursache hierfür ist, dass der Steam-Client beim Start mehrere Berechtigungen in der Registry von Windows verändert. Diese Einträge könnten von Angreifern dazu genutzt werden, einem anderen Prozess höhere Rechte einzuräumen. Auch das Starten und Beenden von Steam sei über die Schwachstelle möglich. Verärgerte Mitspieler könnten so möglicherweise den Client ihres Gegenübers aus der Ferne schließen.

Die von Kravets verwendete Schwachstelle ist 45 Tage alt. Normalerweise geben Sicherheitsforschern den betroffenen Entwicklern 90 Tage Zeit, um eine Lücke zu schließen. Diese Frist wollte Kravets aber offenbar nicht einhalten, da seine Meldung der Sicherheitslücke auf der hierfür gedachten Plattform HackerOne abgelehnt wurde. Als Grund wurde genannt, dass zur Ausnutzung zusätzliche Dateien notwendig seien. Die Lücke lässt sich nach Angaben des Entdeckers aber allein mit der in Windows vorinstallierten Datei regedit.exe ausnutzen . Dennoch verzichtete HackerOne auf eine Weiterleitung der Sicherheitslücke an den Steam-Betreiber. Valve hat sich bislang noch nicht offiziell zu dieser neuen Sicherheitslücke geäußert.

Street Fighter V gratis vom 1.8. - 11.8. auf Steam und PS4

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2447259