ComputerBase Menü
Aktuelles
  • Mitspieler gesucht? Du willst dich locker mit der Community austauschen? Schau gerne auf unserem ComputerBase Discord vorbei!

News Gefahr im Verzug: Sicherheitslücke bedroht Spiele auf Basis der Unity-Engine

Da steht dich klar „with local access“. Also nicht relevant für 99% der User.
 
  • Gefällt mir
Reaktionen: Kuristina und Pisaro
CDLABSRadonP... schrieb:
Bestcase: Devs porten jetzt ihre vernachlässigen Titel bei dem Anlass doch mal in eine neuere Version.
Realcase: Diese Devs machen gar nichts.
Zum Vergrößern anklicken....
Vergiss es, wäre je nach Versionsupgrade ein immenser Aufwand. Da ändert sich von Version zu Version teilweise echt viel an Namespaces, Signaturen, aber auch Verhaltensweisen von Funktionen, entfernte Features usw. Auch schön wenn zB Fixes alter Bugs in der Engine wiederum neue erzeugen, weil das Spiel den damaligen Bug anders umgangen hat.
Dann darfst du auch noch den gesamten Rattenschwanz an Lizenzen neu prüfen, wenn die Engine neuere Libs einbindet, ob die sich mit deinen Bestimmungen vertragen.

Besonders wenn das Spiel kaum mehr Einnahmen generiert, lohnt sich das für kein Studio.
Die Einbindung von Steam und Defender werden hier den meisten Schutz übernehmen, ein paar werden den Patcher drüber laufen lassen und die allerwenigsten tatsächlich neu kompilieren.
 
qu3x^ schrieb:
Das ist extrem schwer bei Projekten die bereits EOL sind.
Zum Vergrößern anklicken....
Klar und für mich nachvollziehbar, EOL ist EOL.

Und die großen Plattformen haben offenbar auch schon interceptor logic in place.


Auf https://unity.com hingegen flackert es zwar wie Bolle, aber einen diesbezüglichen Hinweis sehe ich nicht.

Interessanterweise aber folgenden "Hero"-Banner:
1759599599631.png


Eine Liste mit diesen 82 Spielen sollte als mindestens machbar sein. Ich hacke darauf ja auch nur deswegen herum, weil diese Liste die Liste für das interne Tracking der typischen KPIs ist und selbstverständlich viel länger ist.

Wie ich schon schrieb: Kein Grund zu Panik oder Überdramatisierung, aber die Kommunikationspolitik finde ich schräg.


@Flynn74: Bist Du auch betroffen ("Scott Whiskers and the ....")?
 
Zuletzt bearbeitet: (Formulierung)
Hatte schon einige Updates über Steam und ich denke bei Offline Games nicht relevant.
 
CDLABSRadonP... schrieb:
Realcase: Diese Devs machen gar nichts.
Zum Vergrößern anklicken....
Realcase: Devs wollen tendenziell schnelle Updatezyklen und saubere Releases ohne kritische CVEs, scheitern tuts dann am Geldgeber oder am Kunden - und es wird lustigerweise umso schlimmer, je kritischer das System. :P

Manegarm schrieb:
Gibt nur Probleme damit. Ich kauf auch nichts mehr was mit UE läuft, gleiches gilt für Unreal 5.
Zum Vergrößern anklicken....
Na zumindest Geld sparst du auf diese Weise. :lol:
Und UE wird für Unreal verwendet, hast da also zwei Mal die Unreal Engine genannt, meintest wohl aber Unity.

Blutschlumpf schrieb:
Du musst ja schon lokal etwas ausführen können um die Lücke überhaupt zu nutzen.
Sofern das Spiel nicht mit mehr Rechten läuft als der Code der das ausnutzen möchte ist das imho sogar belanglos.
Viel Lärm um nichts.
Zum Vergrößern anklicken....
will-lee schrieb:
Da steht dich klar „with local access“. Also nicht relevant für 99% der User.
Zum Vergrößern anklicken....
Der Dev, der die Lücke gefunden hat, sieht das anders:
In specific cases, the vulnerability could be exploited remotely to execute arbitrary code
Zum Vergrößern anklicken....
Und selbst im trivialsten Fall macht es schon einen Unterschied, ob einen das Spiel XY um Admin-Rechte oder nach einer Firewallausnahme fragt, als eine plötzlich auftauchende, unbekannte App.

Cebo schrieb:
Ich hab's mal fix gemacht. Und bei mir wären alle Spiele betroffen bei denen diese Datei verwendet wird. Also:
Zum Vergrößern anklicken....
Ok - das teilst du uns mit, weil...? :P
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Marflowah
Wenn diese Lücke laut Angaben nicht ausgenutzt wird...noch nicht. Warum macht man dies dann bekannt und patcht nicht im "stillen". Nennt sich dann oft Stabilitätsupdate usw.
Ich könnte mir vorstellen, dass gelangweilte Hacker jetzt erst einmal genau schauen, wie sich das machen lässt. Da müssen diese Hacker selbst nicht nach Lücken graben.
Oder bin ich da falsch?
 
"Externer Sicherheitsforscher" :D - das ist aber ne sehr süffisante Umschreibung für nen Hacker. :evillol:
 
Etwas verwirrend diese Unity-Engine:
suche ich nach UnityPlayer.dll finde ich 283 Treffer auf meinem Rechner
suche ich nach UnityEngine.dll habe ich 501 Treffer

Ich vermute mal das hängt von der Unity-Version ab, ob eine oder beide Dateien benutzt werden.
 
Wenn ich das richtig verstehe, gibt Steam eine Warnung aus wenn man so ein Spiel startet welches noch nicht gepatcht wurde?

Habe schon 2 gestartet die noch kein Patch bekommen haben ,aber Steam gibt keine Message
 
CDLABSRadonP... schrieb:
Bestcase: Devs porten jetzt ihre vernachlässigen Titel bei dem Anlass doch mal in eine neuere Version.
Realcase: Diese Devs machen gar nichts.
Zum Vergrößern anklicken....
Als Dev würde man ja gerne, das Management darüber sagt aber nein.
 
  • Gefällt mir
Reaktionen: prayhe
will-lee schrieb:
Da steht dich klar „with local access“. Also nicht relevant für 99% der User.
Zum Vergrößern anklicken....
Weshalb wird immer so argumentiert...
Mit 150 durch eine Quartierstrasse mit Kinder und Schule... betrifft ja 99.9% nicht und solange nichts passiert... Who cares.

So hat die Transportfirma KNP auch gedacht und jetzt stehen 700 Jobs und 158 Jahre Erfahrung auf der Strasse.
 
ComputerJunge schrieb:
@Flynn74: Bist Du auch betroffen ("Scott Whiskers and the ....")?
Zum Vergrößern anklicken....
Ich fürchte ja. Bin dummerweise grad in Griechenland und kann nix unternehmen. Ich werde aber spätestens nächstes Wochenende patchen. Zumindest Steam, GOG und Android. Die „geschlossenen“ Plattformen sollen ja glücklicherweise safe sein.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: BrollyLSSJ und ComputerJunge
RAMSoße schrieb:
Wenn diese Lücke laut Angaben nicht ausgenutzt wird...noch nicht. Warum macht man dies dann bekannt und patcht nicht im "stillen". Nennt sich dann oft Stabilitätsupdate usw.
Zum Vergrößern anklicken....

Den Teil, den man im Stillen machen konnte, z.B. Microsoft Defender aktualiseren, hat man ja schon getan. Für den nächsten Schritt musste man nun aber alle informieren, die mit Unity Projekte entwickeln oder in der Vergangenheit entwickelt haben, damit die ihre Projekte neu komplieren. Das sind zigtausend Leute und somit ist ab diesem Punkt das Problem sowieso öffentlich.

Edit:
Gerade mal auf Wiki nachgeschaut, da steht was von "1.5 million monthly creators".
 
Syrato schrieb:
Weshalb wird immer so argumentiert...
Mit 150 durch eine Quartierstrasse mit Kinder und Schule... betrifft ja 99.9% nicht und solange nichts passiert... Who cares.

So hat die Transportfirma KNP auch gedacht und jetzt stehen 700 Jobs und 158 Jahre Erfahrung auf der Strasse.
Zum Vergrößern anklicken....

Weil man jede Lücke für sich nach Schwere einordnen muss. Sollte ein Spiel nach Portausnahmen, Adminrechten oder sonst was verlangen, dann sollte man zumindest stutzig werden bzw. diese nicht genehmigen. Ich gehe mal davon aus, dass die User hier informiert genug dafür sind. Und diese Lücke scheint ja jetzt nicht so einfach auszunutzen zu sein, dass man betroffene Spiele gar nicht mehr starten soll. Für mich fehlt aber immer noch die Info was genau gemacht werden muss um die Lücke ausnutzen. Erst dann kann man das wirklich einschätzen.

Edit: Ok, über den CVE Link aus dem Artikel kommt man zur Erklärung des Sicherheitsforschers hier:

https://flatt.tech/research/posts/arbitrary-code-execution-in-unity-runtime/

Da steht das alles deutlich detaillierter weiter unten. Ich würde wohl doch ungepatchte Spiele mit äußerster Vorsicht nutzen. Mea Culpa, das klang weiter oben für mich eher nach nicht allzu wahrscheinlich, aber Browserfunktionalität ist ja häufiger gegeben.
 
Zuletzt bearbeitet:
Salamimander schrieb:
Proton/Wine durch den Sandboxansatz eher nicht betroffen, oder ?
Zum Vergrößern anklicken....
Ich habe selber noch etwas gelesen und betroffen sind (alle gleichermaßen):
  • Android
  • Windows
  • Linux (Desktop)
  • Linux (Embedded)
  • macOS

Nicht klar ist für mich aber: Sind die Konsolen wirklich nicht betroffen? Ist iOS wirklich nicht betroffen?
 
Das ist das Schöne an geschlossenen Systemen. Man mag zu Apple, Nintendo & Co stehen wie man will - da dem ahnungslosen Endkunden etwa unbemerkt unterzujubeln ist schwer bis unmöglich. Als DEV bin ich verdammt froh die Nintendo/Sony/Xbox Builds NICHT updaten zu müssen. Das wär dann ein echter Marathon. iOS ginge jedoch noch relativ fix.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz