Valve patcht letzte 0-day-Schwachstelle

Anbieter Valve patcht die letzte 0-day-Schwachstelle in seinem Streaming Client. Weiterhin wird der Bann des Entdeckers aus der Entwickler-Community als Fehler angesehen. Und es gibt neue Regeln für das Bug-Bounty-Programm.


Anzeige

Es gab ja einige Aufregung um eine Schwachstelle im Steam-Spiele-Client für Windows. Ich hatte im Beitrag Windows Steam-Schwachstelle CVE-2015-7985 wieder offen über eine Schwachstelle berichtet, das Ganze aber nicht weiter im Detail verfolgt. Was ich mitbekommen hatte: Steam sprach davon, dass die Schwachstelle keine Schwachstelle sei – und der Entdecker der 0-day-Lücke wurde aus der Entwickler-Community rausgeworfen.

Den neusten Nachrichten auf Twitter entnehme ich nun, dass Valve zurück rudert. Man hat einen Patch für die letzte 0-day-Schwachstelle freigegeben. Und den Rauswurf des Entdeckers aus der Community bezeichnet ein Sprecher von Valve als Fehler, den man untersucht. Zudem werden die Regeln für das Bug Bounty-Programm überarbeitet, um so etwas künftig zu verhindern.

Das war passiert

Die Reaktion des Unternehmens kommt, nachdem dieses für seine schlechte Art und Weise kritisiert wurde, wie es mit gemeldeten Schwachstellen umgeht. Der Hintergrund: Letzten Monat wurde vom russischen Sicherheitsforscher Vasily Kravets ein Bug-Report zu einer Schwachstelle eingereicht. Aber die HackerOne-Mitarbeiter, die das Bug Bounty-Programm von Valve betreuen, teilten Kravets mit, dass der Fehler außerhalb des Anwendungsbereichs des Programms lag und dass Valve nicht beabsichtigte, diesen zu patchen.

Beim Bug ging es um die Möglichkeit einer lokalen Privilegienerweiterung (LPE). Der Bug ist zwar nicht so gefährlich ist wie eine Schwachstelle für die Remotecodeausführung (RCE). Aber eine Malware, die bereits auf einem Computer vorhanden ist, könnte die Steam-App verwenden, um Administratorrechte zu erlangen und die volle Kontrolle über einen Computer zu übernehmen.

Auch wenn Valve nicht beabsichtigte, den Fehler zu beheben, verbot das HackerOne-Team Kravets, die Schwachstelle öffentlich bekannt zu geben. Das hätte bedeutet, dass Millionen von Steam-Benutzern anfällig für Angriffe geblieben wären.

Kravets enthüllte schließlich Details über die Schwachstelle und wurde daraufhin aus dem Bug-Bounty-Programm von Valve verbannt. Damit haben die sich richtig in den Fuß geschossen. Die Community war sauer, so dass Valve schließlich eine Lösung für den von Kravets berichteten Bug lieferte.

Aber ein anderer Forscher fand innerhalb weniger Stunden einen Weg, um den Fix auszuhebeln. Kravets veröffentlichte dann Details über die zweite Steam-Client LPE-Schwachstelle auf seiner Website. Er konnte den Fehler ja nicht über das Bug-Bounty-Programm des Unternehmens melden, denn er war ja rausgeworfen worden. Wie heißt es so schön: 'Dumm gelaufen und nix dazu gelernt'.


Anzeige

Jetzt will sich Valve also bessern und hat sich neue Bug Bounty-Regeln gegeben. Details zu dem ganzen Fall und was sich ändern soll, finden sich bei ZDNet.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.