X

"Geht weg!":
Valve zieht den Ärger diverser Security-Experten auf sich

Der Spielehersteller Valve verscherzt es sich gerade mit diversen Sicherheitsforschern. Die Folge dessen ist ein steigendes Risiko der Nutzer, zum Ziel von Angriffen zu werden. Denn aufgrund des Verhaltens der Firma sehen sich einige Experten genötigt, Informationen zu Zero-Day-Lücken direkt offenzulegen.
Steam/WinFuture
22.08.2019  10:50 Uhr
Beispielhaft für die Probleme ist der russische Security-Forscher Vasily Kravets. Dieser übermittelte kürzlich Informationen zu einer Schwachstelle im Steam-Client über die Plattform HackerOne an den Hersteller. Hier lief er allerdings in eine Sackgasse. Aus der Sicht Valves handelte es sich bei dem Bug keineswegs um ein Sicherheitsproblem, weshalb auch die Entwicklung eines Patches abgelehnt wurde. Als Kravets aber erklärte, die Informationen dann eben öffentlich machen zu wollen und sie so von einer breiteren Experten-Gruppe prüfen zu lassen, wurde ihm das wohl von HackerOne-Mitarbeitern untersagt. Wie aus einem Bericht des US-Magazins ZDNet hervorgeht, stellte Kravets seine Erkenntnisse dann aber trotzdem online und kassierte eine Sperre für die Teilnahme am Bug Bounty-Programm Valves. Erst als die Veröffentlichung für eine Menge Aufmerksamkeit - auch in der Presse - sorgte, stellte der Steam-Betreiber dann doch noch einen Patch zur Verfügung. Doch gelang es einem anderen Sicherheitsforscher recht schnell, die neuen Schutzmaßnahmen auszuhebeln und die ursprüngliche Lücke wieder auszunutzen.

Das ist doch kein Bug!

In der Entwicklung tauchte dann auch Matt Nelson auf, der in der Security-Szene zu den bekannteren Namen gehört. Dieser berichtete, dass er die gleiche Lücke wie Kravets gefunden hatte - allerdings wohl etwas später. Auch er habe versucht, das Problem zu melden und stieß auf die gleichen Schwierigkeiten.

Die Sache entwickelte sich für Valve noch weiter zum Fiasko, als Kravets eine weitere Sicherheitslücke im Steam-Client entdeckte. Da die direkten Kommunikationswege zu Valve inzwischen aber versperrt waren, entschied er sich, die Zero-Day-Lücke gleich öffentlich zu machen. Eventuell hätte er hier auch über Dritte versuchen können, Gehör zu finden - allerdings war ja ohnehin klar, dass das Unternehmen daran nicht sonderlich viel Interesse hatte.

Aktuell kann im Grunde nur spekuliert werden, warum die Leute bei Valve sich auf diese Weise verhalten. Möglicherweise rühren die Streitigkeiten aus einer unterschiedlichen Betrachtung der Art der Schwachstellen, um die es hier geht. Die Bugs, die als Local Privilege Escalation bezeichnet werden, erlauben es, Code auf einem System mit mehr Rechten auszustatten, als der Administrator ihm zugestehen würde. So lässt sich Malware, die man einem einfachen Nutzer untergeschoben hat, beispielsweise mit Root-Rechten versehen. Bei Valve betrachtet man das allerdings nicht als echte Sicherheitslücke, so dass die Prozesse der Patch-Entwicklung überhaupt nicht richtig zum Tragen kommen.
Verwandte Themen
Steam
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture