Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 44 reacties
Bron: Heise Online

Een bug in het servergedeelte van de first person shooter FEAR kan er voor zorgen dat de computer waarop het spel draait geen netwerkverkeer meer accepteert wanneer er bepaalde UDP-pakketten worden ontvangen.

FEAR verpakkingHet probleem is niet iets van de laatste dagen, aangezien de bug al bekend is sinds december vorig jaar en ook aanwezig is in spellen als Tron 2 en No One Lives Forever 2, die van dezelfde lithtech-engine gebruik maken als FEAR. De fout treft zowel de Windows- als de Mac OS X-versie van het spel. De ontwikkelaar van de game, Monolith, reageert niet op de security advisitories die zijn gepubliceerd, zo benadrukt de ontdekker van de fout Luigi Auriemma. De fout treedt op wanneer het multiplayergedeelte van het spel wordt gebruikt en er UDP-pakketten met een grootte van 0 bytes worden verzonden naar de server. Ook UDP-pakketten met een grootte tussen de 8192 en 12881 bytes zorgen ervoor dat de fout zich voordoet. Zodra dergelijke pakketten worden ontvangen zou de server in een oneindige loop terecht komen waardoor de server geen netwerkverkeer meer accepteert.

Moderatie-faq Wijzig weergave

Reacties (44)

De ontwikkelaar van de game, Monolith, reageert niet op de security advisitories die zijn gepubliceerd, zo benadrukt de ontdekker van de fout Luigi Auriemma.
Neem dat maar met een enorme korrel zout.
"Luigi Auriemma" is een ontigelijke zeikert en absoluut geen aardige "hacker", hij heeft een redelijke korte lont.

Dat houdt niet in dat de bug niet gefixed moet worden. Verder hebben heel veel engines last van soort gelijke bugs (incl. UnrealEngine en Quake\Doom\whatever' engine)
Goh, stel je toch eens voor dat het niet opgelost wordt. Dan kan ik afentoe mijn Tron2.0 game niet online spelen omdat de servers plat liggen...
Ehm...
Speelt er uberhaupt ooit wel eens iemand online met Tron2.0 ? :D
Ik heb het ooit gekocht omdat ik Tron de beste film ooit gemaakt vind en de sfeer erg mooi vind gerepliceerd in het spel, maar niet om er mee te gaan online multiplayeren.
Daar is het volgensmij ook eigenlijk helemaal niet geschikt voor, of ik moet iets gemist hebben...
NA anderhalf uur tobben heb ik met een maat destijds besloten dat het leuker was om gewoon unreal te spelen... zelfs systemshock 2 was nog beter in multiplayer.
Mja, noem maar es een grote game waar nog niet zulke fouten in zijn gevonden :)

In het verleden is gebleken dat het redelijk snel overwaait, dit soort dingen.
Er is helemaal geen Mac OS X versie van deze game (helaas). Tron 2.0 en NOLF zijn er dan weer wel, dus neem aan dat die bedoeld worden.
Ja, de laatste zin van het bron artikel vermeld dat het om de "Spiel-Engine" gaat, waar Engine direct uit het engels is overgenomen, en Spiel "spel" betekent.
Misschien wel een serverversie voor MacOS X?

* 786562 Jack
Toch raar dat Monolith hier niks aan doet, zeker omdat de bug al een tijdje bekend is...
idd :/ vooral omdat het een potentieel schadelijke bug is (makkelijk om een server plat te leggen waar wss nog wel meer dingen op draaien -> schade post voor de exploitant)
Lekkere sysad, die spellen op z'n "server" speelt.
Jah, want het kan nooit de bedoeling zijn om spellen op je server te zetten. Die admins bij xs4all chello en andere providers zullen ook zeker snel hun baan kwijt raken.
FEAR the DoS attack! :+
Waar is nu het ddos gedeelte?

Dat je een server plat kunt leggen is vervelend, maar dat is een probleem voor het bedrijf en z'n klanten.

DDoS is een probleem voor een bredere doelgroep.
Waar is nu het ddos gedeelte?
Het is een non-distributed denial of service attack, dus er had maar een D moeten staan.
Daarnaast is het een afkorting en zou het dus DOS of DoS in Amerikaanse notering moeten zijn.

t.net is lekker bezig de laatste dagen... Stel nieuwe nieuwsposters aangenomen?
Bio: Sinds oktober 2001 ben ik toegetreden tot de groep mensen die de Tweakers.net voorzien van de nodige inhoud
absoluut niet nieuw dus.

* 786562 RJ

+ het is al aangepast. Fouten zijn menselijk
Ik kraak jou absoluut niet af, ik geef alleen mijn commentaar en geef aan wat de correcte vermelding zou moeten zijn.

Daarnaast praat ik over het algemene niveau van t.net wat zakt als algemene observatie, dat is niet specifiek tegen jou bedoelt en daarmee wil ik ook zeker niet zeggen dat jij nieuw bent... :X

[behoorlijk offtopic]

Het ligt zeker niet aan jou hoor, een klein foutje kan gebeuren.
Maar het niveau van de nieuwsberichten hier was ooit redelijk goed, maar het laatste paar maanden en weken is het meer het snelle copy paste werk geworden. Dit zonder dat de artikelen gechecked worden op duidelijke fouten. En dan heb ik het niet over typ foutjes of spel foutjes, maar gewoon compleet verkeerde gegevens of namen.

Daarnaast zie je de laatste tijd dat reviews altijd gepresenteerd worden alsof het de waarheid is, zelfs als ze andere reviews tegen spreken. Ook zie je nieuwsberichten met nieuws over hardware wat eigenlijk helemaal niets nieuws onder de zon is.

Ook wanneer Amerikaanse nieuwssites een verhaal opblazen wordt dat direct overgenomen.

Gelukkig af en toe komen er dan nog updates later waardoor de berichten weer wat meerwaarde krijgen.

Niet dat ik het allemaal zo'n ramp vind, maar ik vind het gewoon zonde, zeker als het niet nodig is.

Het probleem is natuurlijk dat je als nieuwsposter een beslissing wil maken of je alleen de orginele nieuwspost wil vertalen en als quote wil brengen, of dat je er een eigen slinger aan wil geven (zoals Wouter Tinus vaak doet, en goed doet).

Wanneer je er een eigen slinger aan geeft kan het geen kwaad om kritisch te zijn, als je maar alles nacheckt. Wanneer je het als quote brengt is het ook prima.

Het probleem ontstaat pas wanneer een quote met fouten als eigen waarheid wordt gebracht, dat haalt het niveau omlaag.

Ik begrijp ook wel dat het als backseat-driver erg gemakkelijk is om commentaar te hebben. Maar goed, dat wil niet zeggen dat ik maar geen commentaar moet geven. Ik zeg ook niet dat het niveau laag is, maar dat het zakt.

Jammer dat mensen ook zo zwart-wit denken bij het uitdelen van de moderaties. Eerst krijg ik +2, nadat je een reactie geeft ineens 0... X
[/behoorlijk offtopic]
Ik begrijp wat je bedoelt, maar je had er ook opbouwende kritiek van kunnen maken. Misschien was dit je bedoeling wel, maar denk niet dat het helemaal gelukt is.

Inderdaad was mijn opmerking een soort van "stem-win-opmerking" (zeggen wat mensen willen horen). Dat is iets waar ik me meer aan irriteer, als ik denk dat ik een interessante en goede opmerking maak, of een vraag stel en dat dan niet gewaardeerd wordt. Vind ik vreemd, maar is natuurlijk erg subjectief.

Heb mezelf dan ook aangeleerd om er niet van aan te trekken en dat kunnen meer (algemeen, niet specifiek 1 persoon) mensen doen.

* 786562 RJ
D-tje eraf, klopt het wel ;)
Altijd handig om te weten, ik hoor de laatste tijd heel veel over FEAR. Wie ontdekt zoiets en hoe? Dat kan toch ook niet altijd een lievertje zijn?

Je bent ook erg slecht bezig als spelfabrikant/ontwikkelaar als je niet reageert op een bugmelding terwijl die bug al langer bekend is...
het is net WEL een lievertje... als hij dat niet was zou hij de bug niet doorgeven aan de maker maar zou hij hem gewoon blijven abusen.
trouwens, meestal zijn het beveiligingsexperts met goede bedoelingen die dit soort dingen ontdekken omdat ze er ook bewust voor aan het zoeken zijn
Het abusen van een lek dat een DDOS op de betreffend gebruiker kan veroorzaken lijkt me echt voor mensen die totaal geen leven hebben.
Het gaat hier zeker niet om een DDoS, maar gewoon een DoS.
@JELMER

Totally agree..

Een DDOS zou distributed zijn
Een DOS is dit niet.

De kop van deze thread doet ook suggereren dat via het lek een DDOS op een ANDERE computer kan worden uitgevoerd.

Dit is niet het geval en daarmee is het lek ook een stuk minder boeiend.
Eerder gewoon een BUG dan een LEK gezien er ook geen Admin permissies mee verkregen worden.
Wie ontdekt zoiets en hoe?
Hobbyisten die het als een soort puzzel zien. Er zijn ook complete frameworks om makkelijk exploits mee te kunnen draaien en code te injecteren waar verschillende plugins voor bestaan; er zijn redelijk wat makers van dergelijke plugins.

Het jammere is natuurlijk dat ondanks dat dat niet de bedoeling is - het idee is het maken van proof of concepts die ontwikkelaars weer aan zullen zetten lekken te dichten - die frameworks met plugins weer door script-kiddies gebruikt worden om gameservers over te nemen voor het hosten van warez etc. Bovendien is het vrij dubieus om bij de oudere, maar nog wel veel gespeelde games zo'n exploit openbaar te maken, want de softwarebedrijven hebben het geld niet om eindeloos lang ondersteuning te bieden.

* 786562 PowerFlower
Dat je er veel over hoort geloof ik best, het is zown vet spel, echt een zware aanrader, verder ben ik nu compleet offtopic..
Er zijn tegenwoordig erg veel programma's die toegang hebben tot het internet. Niet alleen games maar ook FTP, updates, benchmarks etc..
Wat ik me af vroeg is of dit lek in fear redelijk uniek is of dat een groter aantal programma's onbedoeld toegang verschaffen tot je PC?

Ik doel hierbij niet op de bekende lekken (en fixes) voor internet explorer, mozilla en, windows zelf. Als veel meer programma's lekken lijkt dit een beetje het zwarte gat van internetbeveiliging te zijn.

(8>
Er zijn tegenwoordig erg veel programma's die toegang hebben tot het internet. Niet alleen games maar ook FTP, updates, benchmarks etc..
Wat ik me af vroeg is of dit lek in fear redelijk uniek is of dat een groter aantal programma's onbedoeld toegang verschaffen tot je PC?
Neuh. Vooral servers zijn geschikt om op in te breken en te verzieken : je kan ernaar scannen, en als je er eentje hebt gevonden kan je rustig erop in gaan hakken.

Sowieso, op een client kan je niet inbreken eigenlijk. Clients zijn onzichtbaar. Kan jij zien welke browser ik draai als ik je mijn IP geef? ;) Dan moet je zorgen dat de client zich gaat verbinden met een compromised server, en het kringetje is weer rond. Servers wil je hacken! En als het ff kan moeten er dan users op gaan zitten, en als er dán nog een lek in de client zit kan je zorgen dat jouw overgenomen compromised server allemaal rotzooi op de HD's van de users gaat zetten. Anders gaat alleen de server plat, zoals schijnbaar hier. Misschien onduidelijk in het nieuwsbericht, maar : er is geen gevaar voor Jan Modaal die alleen maar het spelletje speelt! Hij kan alleen niet altijd meer spelen omdat de servers zo nu en dan op hun bek gaan zodra iemand slechte pakketjes gaat sturen.

De meeste serversoftware zit wel behoorlijk dicht. FTP servers zitten afaik behoorlijk dicht, updateservers draai jij niet, benchmarks zijn ook slechts clients voor ons.

Zoveel servers draait zelfs een tweaker niet. Bittorrent/eDonkey/Gnutella functioneert wel als een soort server, tenzij je de poort niet forward, maar dan gaat het allemaal via de tracker/p2pserver werken en da's trager. Sommige Tweakers hebben dan nog een webserver. Maar verder niet zoveel dus. Al die kleine proggeltjes die tegenwoordig internet opwillen zijn geen servers en jij loopt dus alleen risico als de server waarmee die proggeltjes willen verbinden compromised is. Dat is zelfs voor je webbrowser zo. Helaas verbinden de meeste mensen via hun browser met tig servers waar ze niets van weten per dag, en willen clienten ook nogal eens een lekje bevatten, dus geen wonder dat dat wel eens misgaat ;).

Met updateproggels connect je naar een specifiek IP/hostname en loop je dus alleen risico als de server van de fabrikant compromised is (zal niet belachelijk snel gebeuren normaal) of als de DNS compromised is en jij met vage dingen aan het connecten bent. Komt ook weinig voor.

Ofwel, ik zou me weinig zorgen maken :). Een programma dat een verbinding met internet maakt is niet direct een mogelijk lek op zichzelf :).

Goed, wanneer iemand het voor elkaar krijgt de Windows updateserver te hacken en daar troep op te zetten (ik betwijfel dat je daar ooit genoeg tijd voor hebt) zijn de rapen gaar. Nah, ik zou me weinig zorgen maken :)
Dat is toch geen reclame voor Monolith lijkt me? Slechte zaak als ze voor zo'n klasse spel als FEAR niet even een patch/fix regelen voor hun klanten?
Hopen dat ze nu niet zo laks zijn als bij Tron2, maar hoe haalt zoon bedrijf het dan ook ik hun hoofd om een bug die al ZOO bekend is te laten zitten of zelfs opnieuw te gebruiken |:(
met het risico op een +1 grappig / -1 overbodig:

In de zoo zitten diertjes :o
Zie'zo.
Ik zeg altijd maar zoo, dat is korter dan dierentuin.
NOLF 2 is al ruim 3 jaar oud ! Beetje erg laks van Monolith; ze maken coole games,
maar dit is natuurlijk wel een slechte zaak ! Dat ze misschien voor een 3 jaar oude game geen patches meer willen uitbrengen kan ik nog ergens begrijpen, maar ze hadden in die 3 jaar wel makkelijk die bug kunnen fixen !

Ik denk dat Monolith het nu met al die commotie wel snel zal aanpassen ...
Bij Starship Troopers had dit bugje nu echt niet veel uitgemaakt, dat zit vol van de bugs :+
Misschien valt het probleem wel helemaal niet op te lossen binnen hun engine structuur, kan me niet voorstellen dat je een engine bkijft gebruiken met deze bug. Kun je nog zulke mooie games maken, op een gegeven moment word zo een bedrijf er op af gerekend.

Hetzelfde gebeurt nu met Valve, afgerekend op de al 6 jaar durende slechte support naar de community met als gevolg dat Source niet word geaccepteerd zoals ze graag hadden wilen zien, zo ook met de verkoop cijfers. Mods zoals CS en DoD hebben Valve groot gemaakt, sinds versie CS 1.0 is de community langzaam maar zeker afgetaaid. Zo zal de expansion pack van HL2 denk ik ook slecht ontvangen worden, ben benieuwd naar de cijfers ;)

Sta juist op het punt om de eerste versie's van Ghost Recon weer te gaan spelen in co-op mode met een paar vrienden, ook zoiets, co-op mode word veel te weinig geimplenteerd in shooters, terwijl er zo een behoefte aan is. Tactisch met een squad je objective bereiken, leuker gamen is er niet :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True