Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 24, views: 15.942 •

Een beveiligingsbedrijf heeft kwetsbaarheden in Steam en een aantal populaire games ontdekt, waarmee een aanvaller code kan laten uitvoeren op systemen. In sommige browsers is het klikken op een steam://-link voldoende.

Beveiligingsbedrijf ReVuln heeft een beveiligingsprobleem ontdekt in Steam, schrijft Ars Technica. Door gebruik te maken van de Steam protocol handler, waarmee url's worden verwerkt die beginnen met steam://, konden de onderzoekers van ReVuln op afstand programma's installeren, starten en uitbuiten.

Dat kan door het reinstall-commando mee te geven in een link, waarmee een backup van een spel opnieuw geïnstalleerd kan worden. Een van de parameters van de opdracht is het pad waarlangs Steam zoekt naar een splashscreen en een installatiebestand. Door een kwetsbaarheid in de verwerking van deze splashscreens is het mogelijk om een buffer-overflow te creëren, waarin een aanvaller code kan injecteren.

Een andere mogelijkheid die de onderzoekers ontdekten, is het exploiteren van kwetsbaarheden in games via Steam. Bij spellen op basis van de Source Engine kunnen de onderzoekers bestanden op willekeurige plekken aanmaken, zoals batch-script in de Startup-folder van Windows. APB: Reloaded, MicroVolts en spellen op basis van de Unreal Engine kunnen misbruikt worden om code van de aanvaller te downloaden uit een willekeurige bron en deze uit te voeren.

ReVuln merkt op dat niet alle gebruikers even kwetsbaar zijn voor de aanvallen. De browsers Internet Explorer, Firefox, Chrome en Opera vragen om een bevestiging zodra er links zijn aangeklikt die door een extern programma worden afgehandeld. Safari en de ingebouwde browser van Steam doen dit niet, waardoor het klikken op een frauduleuze Steam-link genoeg is voor een aanvaller. Valve heeft nog niet gereageerd op de ontdekking van ReVuln.

Reacties (24)

Auw, dit is wel pijnlijk voor het imago van Steam, hoewel de meeste browsers gelukkig wel om een bevestiging vragen.
Ik neem aan dat het bedrijf ook Valve benaderd heeft in plaats van alleen de media op te zoeken? Hopelijk wordt het snel door Valve Software opgelost.

[Reactie gewijzigd door Zerfox op 18 oktober 2012 08:41]

Dat miste ik ook al in het artikel. Is dit een hoop geschreeuw en is dit het eerste dat Valve er van hoort? Valve lijkt me niet het soort bedrijf dat dit soort dingen negeert, maar daar kun je je altijd in vergissen natuurlijk.
Valve heeft er natuurlijk alle belang bij dat ze het imago van veiligheid behouden. Het laatste wat ze willen is dat mensen steam gaan vermijden omdat het geen veilig platform meer is. Nu wordt deze fout nog opgevangen door een beveiliging in brouwers, maar de volgende keer kan het iets erger zijn. Bovendien gaan mensen bij elke hack en kwetsbaarheid meer nadenken of ze steam nog wel willen gebruiken.

Ik heb hier geen bron voor, maar ik weet bijna zeker dat Steam, en vooral de games die via Steam verkocht worden verreweg de grootste inkomstenbron van Valve is.
Het rapport stamt van 15 oktober, dus ik betwijfel ten zeerste dat dit eerst is voorgelegd aan Steam/Valve.
Bij firefox kan je als ie om die bevesting vraagt ook aanvinken dat de links gewoon standaard geopend moet worden en firefox vanaf dat moment dus niet meer om een bevesting vraagt.

Dit is ook weer uit te zetten door linksboven in je scherm op de oranje knop te klikken en dan op options -> options -> applications.
Zie niet in waarom dit pijnlijk zou zijn voor het imago van Steam.
Lastig ja, pijnlijk nee. Steam is voor veel spellen een noodzakelijk kwaad.
Dat er een security bug in het Steam protocol zit, tsja dat kan, mag niet, maar het kan.

Maar het is nu niet zo dat er elke keer een probleem is met de Steam client.
Steam heeft een reputatie als betrouwbaar, client problemen worden over het algemeen snel opgelost. 1 bug zorgt niet gelijk voor een deuk.
Gelukkig gebruik ik nooit de browser van steam om websites te bezoeken, hooguit de steamstore. Maar dit is een zorgelijke ontwikkeling want wie weet hoe lang dit lek al bestaat. Valve is wel snel het releasen van patches dus ik denk dat het over een paar dagen wel opgelost zal zijn. Wel teleurstellend dat het lek bestaat.
De steamstore die in de steam applicatie wordt gebruikt is juist kwetsbaar. Die laat ook alleen maar via webkit de gewone steam website zien.
Ja, maar dit is tenminste wel de site van Valve en daarvan mag je verwachten dat er geen malicious code op staat.

Wel hoop ik dat, zoals Zerfox al zei, dat de onderzoeker wel eerst Valve heeft gecontracteerd zodat ze dit kunnen dichten.

Wel denk ik dat je deze aangepaste links vooral zult tegenkomen in "click here to get free Steam games" achtige sites en dat de meeste mensen daar niet in zullen trappen. Dat neemt natuurlijk niet weg dat dit een grote blunder is van Valve en dat dit misschien het resultaat is van het zeer vrije bedrijfsklimaat.
Het zijn niet zozeer de "click here to get free games" maar meer links die via steamchat door gebruikers worden toegevoegd. Met name valse sites die heel erg lijken op een bestaande. Bijv een 'l' vervangen door '1', de gebruiker klikt op de link en komt bij een foute site uit. In de tussentijd kan er een trojan geinstalleerd worden en zijn account gehijacked.eigenlijk moet je ook heel wantrouwig staan als iemand links via steamchat doorstuurd. Zo kan men ook afgaan op iemand z'n friendlist en met een beetje social engineering zich voordoen als iemand anders of gewoon doodleuk diens account hijacken om daarmee gemakkelijker bij iemand anders z'n account te komen.

Account hijacks zijn overigens bij Steam al geruime tijd een probleem. Sommige steam item inventories zijn een gewild hack object (denk aan zeldzame TF2, Dota items of te ruilen steamgames). Het slachtoffer krijgt meestal wel z'n spullen maar de daders hebben het meeste spul via een serie van mules/tussenpersonen dan alweer doorverkocht aan willoze slachtoffers.


Ik betwijfel trouwens of deze hack echt "nieuw" is.
Ik gebruik het eigenlijk best vaak, aangezien je de browser ingame kunt gebruiken via de overlay.

Vooral handig om de forums te bezoeken als jij of iemand waarmee je speelt een probleem heeft.

Of om even wat info te zoeken om verder te komen als je obscure developer logica moet zien te ontrafelen.

Het grootste probleem is dan denk ik ook dat de steambrowser gemaakt is om die steam links direct te openen en naar de juiste tab te gaan, of om functionaliteit binnen steam aan te sturen.
Zal wel erg snel worden gefixt door Valve, lijkt wel een beetje op die USSD codes bij Androids...
Dit is wel minder nieuws. En kan vele gamers treffen. Als het hier echt over de gevallen met Source Engine gaat, dan zal steam nog heel wat werk hebben denk ik.
Opletten maar de komende dagen, zeker nu het nieuws verspreid is.
Ne het is alleen de afhandeling van de link door Steam, niet de Source engine.
tja, applicaties die zoveel en zolang gebruikt worden zonder bugs zijn gewoon nog niet goed onder handen genomen. Neemt niet weg dat het gebruik van een eigen webbrowser sowieso een riskante keuze was. blij dat ik hem zelf niet gebruik behalve dan voor de steamstore door te bladeren..... (en nu hopen dat ze die niet hacken :P)
Ben benieuwd wat Gabe Newell te melden heeft.
Al valt het raakvlak van dit probleem vast wel mee. Ik gebruik de browser ingame zeer sporadisch voor andere dingen dan Valve sites aangezien ik dan zegmaar bezig ben met een game. :P
Lijkt me dus niet iets wat geexploteerd gaat worden om grootschalige schade mee aan te richten.
Ik heb me eerder afgevraagd hoe ver de interne documentatie van Valve gaat met betrekking tot de werking van de verschillende Steam componenten. (Steamworks API, browser protocol, skinning en Big Picture mode) De browser protocol documentatie op de publieke developer Wiki is voor het grootste deel opgesteld door de community, en de informatie over Steamworks komt enkel van reverse engineering van projecten als SteamRE en OpenSteamworks.. De bedrijfscultuur van Valve kennende, betwijfel ik of de interne documentatie van Steam beter is dan de informatie die publiek staat. Valve stelt hun games mooi open via de nieuwe Steam Workshop, maar de Steam client en services kunnen mogelijk ook profijt hebben van de community.
Ok so een frauduleus link in steam zelf kan dit triggeren. De vraag is nu hoe krijg je dat link in steam om mee te beginnen?
Ok so een frauduleus link in steam zelf kan dit triggeren. De vraag is nu hoe krijg je dat link in steam om mee te beginnen?
Het kan ook een link op een willekeurige website zijn. Als de link maar begint met steam://

[Reactie gewijzigd door Toet3r op 18 oktober 2012 14:10]

Volgens het nieuws post zijn de reguliere brouwsers niet vatbaar voor dit vanwege dubbele check. Alleen safari en steam zelf kunnen code uit voeren zonder blokkade. Dus het gevaar zit dus in links die alleen maar in Steam zelf zitten(safari is de standaard mac brouwer dus niet boeiend omdat je niet zomaar code kan uitvoeren op zo'n ding) maar ik ga er eigenlijk wel een beetje vanuit dat men niet zomaar Steam content kan wijzigen als eindgebruiker.
safari is de standaard mac brouwer dus niet boeiend omdat je niet zomaar code kan uitvoeren op zo'n ding
Ja want virussen bestaan ook niet voor de Mac. Want Apple zegt dat het virusvrij is dan geloven we het maar toch?

Dat is wat je bewering eigenlijk zegt, gezien virussen ook code uitvoeren en dat kan ook gebeuren zonder dat de gebruiker het ziet. Dus het zeker wel boeiend voor een Mac gebruiker die ook Steam erop heeft staan. Gezien Steam ook wat Mac spelletjes heeft zal dit vast wel op aantal Mac computers staan.
een voorbeeld is TF2, als je naar een server connect krijg je een website te zien, vaak van de clan eigenaar of hosting partij van de server.
of de backpack inspectie functie die op tf2 servers nog wel eens draait
offtopic:
*kijkt naar de dvd-cases in zijn kast en glimlacht*


Als dit zo door blijft gaan met die custom URI's in de browsers, dan begin ik toch wel te vrezen dat de makers van populaire browsers restricties in die functionaliteit gaan inbouwen. Eerst die USSD codes en nu dit weer. :X

Overigs wordt er -bij de browsers die de 'default configuratie' hebben- inderdaad wel om een bevestiging gevraagd, maar wie zou 'onthoud mijn keuze' niet gebruiken als hij/zij constant met dezelfde protocol-URI te maken krijgt?

Edit: wat verduidelijking

[Reactie gewijzigd door RoestVrijStaal op 18 oktober 2012 14:22]

Is het niet verstandiger om dit soort dingen pas publiekelijk te maken als er al een oplossing voor is gevonden? Het is uiteraard vermeldenswaardig nieuws, maar zulke berichten werken natuurlijk als een rode lap voor trollen en hackers. Degenen die er nog niet van af wisten kunnen nu lekker aan de slag.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013