Sicherheitslücke in Valves Steam entdeckt

Über 40 Millionen Anwender nutzen Valves Online-Plattform Steam um Spiele und seit Kurzem auch Anwendungen zu betreiben. Doch nun werden die Nutzer neuesten Berichten nach von einer Sicherheitslücke in der Plattform bedroht.

Laut dem Unternehmen ReVuln, welches unter anderem Informationen über nicht behobene Sicherheitslücken an Firmen und Regierungen verkauft, können Angreifer mittels des verwendeten „steam://“-Protokolls über einen Internetbrowser und einem an das Programm übergebenen Parameter unbefugten Zugriff auf den Rechner erlangen. So erlaubt es die Kommandozeile der Source-Engine, eine Log-Datei anzuwählen und gezielt Einträge dort zu platzieren, sodass eine auf diesem Weg erstellte Batch-Datei im Autostart-Ordner des Systems platziert werden kann.

Dies könnte ein kritisches Sicherheitsproblem darstellen, da bekannte Spiele wie beispielsweise Half-Life 2 und Team Fortress 2 auf die Source-Engine setzen. Bei der noch weiter verbreiteten Unreal-Engine entdeckten die Forscher ebenfalls einen Weg, ihren Code einschleusen und ausführen zu können.

Damit diese Sicherheitslücke jedoch ausgenutzt werden kann, müssen die potenziellen Angreifer vorher ermitteln, welche Spiele auf dem Zielrechner installiert sind. Außerdem zeigen Browser wie der Microsoft Internet Explorer, Google Chrome und Mozilla Firefox beim Aufruf von steam://-URLs eine Warnung an, allein der auf Mac-Rechnern vorhandene und vorinstallierte Safari-Browser vollendet die Befehle ohne eingeblendete Warnung.

Valve hat sich bislang noch nicht zu der von ReVuln beschriebenen angeblichen Sicherheitslücke geäußert.