2450096

Steam: Weitere Zero-Day-Lücke betrifft 96 Millionen Nutzer

23.08.2019 | 10:53 Uhr | Panagiotis Kolokythas

Der Sicherheitsexperte Kravets hatte kürzlich eine Lücke in Steam gemeldet und Ärger gekriegt. Jetzt meldet er eine neue Lücke. Update

Update, 23.8.: Mittlerweile liefert Steam eine Beta-Version des Clients aus, in dem die in diesem Artikel beschriebene Sicherheitslücke gestopft wird. Abzuwarten bleibt, wann der Fix auch seinen Weg in den regulären Client finden wird. Außerdem erhält Kravets auch eine späte Genugtuung für seine Anstrengungen: Valve hat die Bedingungen für die Zuweisung von Kopfgeldern im Hacker-Bounty-Programm geändert. Dadurch könnte Kravets für seine Funde nun doch wieder Geldbelohnungen erhalten.

Ursprüngliche Meldung vom 22.8.: Der russische Sicherheitsexperte Vasily Kravets lässt nicht locker: Erst kürzlich hatte er eine 0-Day-Sicherheitslücke im Spiele-Client Steam gemeldet. Nach Ansicht von Kravets ignorierten die Steam-Macher von Valve zunächst lange Zeit seinen Hinweis. Daraus entwickelte sich schließlich ein Streit, weil es unterschiedliche Ansichten über die Gefährlichkeit der Sicherheitslücke gab. Valve lieferte schließlich einen Fix aus, der sich allerdings binnen kurzer Zeit als umgehbar herausstellte.

Jetzt meldet Kravets, dass er auch aus dem Valve Hacker-Bounty-Programm H1 geworfen worden sei. Darauf reagiert er mit der Veröffentlichung von Details zu einer neuen Zero-Day-Sicherheitslücke in Steam. Davon betroffen sei die Windows-Version des Steam-Clients und nachdem Steam etwa 100 Millionen registrierte Nutzer hat, sollen von der Lücke über 96 Millionen Steam-Nutzer betroffen sein. Die Lücke könnten Angreifer nutzen, um die Kontrolle über die angegriffenen Systeme zu übernehmen. Die Ausnutzung der Lücke sei zwar etwas umständlich, aber über zwei Arten möglich. Diese demonstriert er in den beiden folgenden Videos auf Youtube.

Lesetipp: Steam-Nutzer verlieren alle Spiele durch fiesen Trick

PC-WELT Marktplatz

2450096