Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsGefahr im Verzug: Sicherheitslücke bedroht Spiele auf Basis der Unity-Engine
Ich erwarte aber technisch marktfähige Spiele. Und das sind die meisten Spiele dieser Engine snunmal nicht. Ob die Entwickler damit nicht umgehen können oder ob der Hund bei der Engine begraben ist ist mir dabei komplett egal, ich erwarte gute Ergebnisse.
Es patchen einige Entwickler von Steam Spielen mit man dieser Tage bemerken konnte.
Aber mit Sicherheit sind nicht alle so fleißig bzw. wer weiß ob alle Entwickler noch aktiv sind.
Wichtig wäre:
Ist die Lücke nur beim Spielen gegeben oder schon nach einer Installation?
Ggf. wäre Steam gefragt entsprechende Spiele erst einmal für den nächsten Start zu blocken, womit der Patch Druck größer werden wird. Sicherheit geht vor Kundenservice, so wie man auch Benutzer alter nicht mehr supporteter Betriebssystem gnadenlos blockieren sollte!
Ich bin mir nicht ganz sicher, ob das immer noch so ist, oder eventuell von Proton sogar anders gehandhabt wird. Aber default wird / als Z: eingehängt. Zwar dürfte eine direkte RCE etwas weniger fatal sein als bei nativen Spielen oder Windows, aber Vollzugriff aufs Dateisystem ist trotzdem vorhanden.
Ich finde das blöde, dass die verlinkte Liste von Unity die letzte Zahl hexadezimal darstellt.
Ich habe auf dem aktuell verwendeten Rechner über 20 UnityPlayer.DLL gefunden. Das jetzt alles umzurechnen, ist mir zu aufwändig. Zumal ja die Entwickler am Zug sind. Ich selber kann es ja nicht ändern.
Naja nee. Der Autor schreibt letztendlich "Es ist nicht ausgeschlossen, dass andere Applikationen erlauben, diese lokale Sicherheitslücke auch von Remote zu nutzen". Das ist aber bei allen lokalen Sicherheitslücken so. Deswegen werden lokale Lücken nicht automatisch zu RCEs, sonst wäre die Kategorisierung sinnlos.
Da ist die in Beitrag #4 verlinkte Liste von PCGamingWiki aber dann doch deutlich umfangreicher mit knapp 5000 Spielen statt nur den 199 der Steam-Liste. Zudem gibt es bei letzterer ja auch keinerlei Angaben zur jeweils genutzten Unity-Version.
Klingt ehrlich gesagt ziemlich harmlos.
Du musst ja schon lokal etwas ausführen können um die Lücke überhaupt zu nutzen.
Sofern das Spiel nicht mit mehr Rechten läuft als der Code der das ausnutzen möchte ist das imho sogar belanglos.
Viel Lärm um nichts.
Ich hab's mal fix gemacht. Und bei mir wären alle Spiele betroffen bei denen diese Datei verwendet wird. Also:
No Rest For the Wicked
Deep Rock Galactic Survivor
The Long Dark
Farthest Frontier
Sea of Stars
Terra Nil
Outer Wilds
Twelve Minutes
Raft
For the King
Elden Ring (im Ordner der Adventure Guide.exe)
Wasteland 3
Iron Harvest
naja wie will den jemand nen dev dazu bringen das zu updaten...da sind jha schon einige echt alte dinger mit betroffen...wenn das spiel vor 4 jahren das letzte mal ein update bekommen hat wer glaubt den da noch dran das sich da heute einer hinsetzt und das ding mit der neueren version nochmal überarbeitet?
aber immerhin gut das es eine info gibt und man auch weiß was da potentiell betroffen ist, woanders erfährt man ja da erst was wenn das kind schon in den brunnen gefallen ist...
Ich bin mir garnicht so sicher das es sich hier um ein neues Exploit handelt oder es nicht schon länger bekannt ist. Ist kein geheimnis das Denuvo leichter zu umgehen ist auf Unity Engine basierten Games, denke mal die Jungs die das professionell cracken, genau diese Art von Sicherheitslücke nutzen.
Ich finde das blöde, dass die verlinkte Liste von Unity die letzte Zahl hexadezimal darstellt.
Ich habe auf dem aktuell verwendeten Rechner über 20 UnityPlayer.DLL gefunden. Das jetzt alles umzurechnen, ist mir zu aufwändig.
Die letzte Zahl ist nicht hexadezimal und stellt auch nicht die Versionsnummer der DLL vom jeweiligen Spiel dar. Was Unity in den Tabellen auf der eigenen Webseite auflistet, sind die gepatchten Versionen des Editors.
Bei der Versionierung des Editor, also das Programm, mit dem die Spiel erstellt werden, verwendet Unity schlicht ein etwas anderes Schema - das b steht für Beta und das f für Final, gibt auch noch a für Alphaversionen. 6000.3.0b4 ist also die 4. Betaversion von Unity 6000.3.0 und 2022.3.67f2 entsprechend die 2. finale Version von Unity 2022.3.67.
Bei der DLL im Spiel sind dann nur die ersten 3 Zahlen bis zum Buchstaben identisch, aber statt Buchstabe + Zahl, wie beim Editor, folgt dann ein Punkt und abschließend die Build-Nummer.
Du musst bei der DLL nicht im Eintrag "Dateiversion", sondern unter "Produktversion gucken. Dort steht dann die Versionsnummer des verwendeten Editors.
