News : Sicherheitslücke in Unreal

, 8 Kommentare

Wie bereits letzte Woche bekannt wurde, gibt es in der Engine des Spiels "Unreal" von Epic Games eine kritische Sicherheitslücke. Durch diese Lücke kann Code auf dem Server ausgeführt oder dieser zum Absturz gebracht werden.

Der Fehler selber beruht auf einem String-Format-Bug, der beim Verbindungsaufbau von Client und Server ausgenutzt werden kann. Beim Verbindungsaufbau werden bestimmte Daten in Form von Klassen übermittelt, in die der Angreifer Formartierungsbefehle einbauen kann. Diese werden von der Unreal Serversoftware nicht weiter gefiltert und so ist es möglich, beliebigen Code auf dem Server auszuführen.

Die Unreal Engine ist von vielen anderen Spieleherstellern lizensiert worden und so basieren auch Spiele wie z.B. Rainbow Six Raven Shield auf ihr. Dadurch sind auch diese Spiele von der Sicherheitslücke betroffen. Luigi Auriemma, der die Sicherheitslücke in der Sicherheits-Mailingliste Bugtraq veröffentlichte, hat nach eigenen Angaben Epic Games bereits im September 2003 über selbige informiert. Erst im November hat Epic Games dann die Entwickler, die mit der Unreal Engine arbeiten in einer internen Mail gewarnt, einen Patch gibt es allerdings bis zum heutigen Tag nicht. Diesen will Epic Games mit dem nächsten offiziellen Update nachreichen, dessen Erscheinungsdatum jedoch noch nicht bekannt ist.