Steam-Client jahrelang mit Sicherheitslücke

Steam

Zahn Jahre lang war der Steam-Client mit einer Sicherheitslücke versehen

In dem von vielen eSport-Fans und Onlinegamern verwendeten Steam-Client klaffte jahrelang eine Sicherheitslücke. Die schwachstelle im Windows Client von Steam hat eine Remote Code Execution erlaubt. Für eine erfolgreiche Attacke hätte ein Angreifer kompromitierte UDP-Pakete an einen angreifbaren Client schicken müssen. Daraufhin wäre es in einer internen Bibliothek zu einem Speicherfehler gekommen der und Angreifer hätten Schadcode platzieren und ausführen können.

Seit Anfang April dieses Jahres haben die Steam-Entwickler diese Schwachstelle im Steam-Client allerdings geschlossen. Da sich der Steam-Client beim starten automatisch aktualisiert bzw. auf Updates das System prüft, sollte somit wenige bis garkeine angreifbaren Clients mehr im Umlauf sein. Es schadet aber nicht nochmal zu prüfen ob man auf der aktuellsten Version unterwegs ist.
Weiterlesen

BSI und Microsoft warnen vor Nutzung des Internet Explorers

Das Bundesamt für Sicherheit und Informationstechnik (BSI) und Microsoft warnen derzeit vor der Nutzung des Internet Explorers. Die soeben bekannt gewordene 0-Day-Lücke im Internet Explorer 6 bis 9 ist wohl größer als zunächst angenommen.

Einen Patch für die Sicherheitslücke hat Microsoft bisher nicht zur Verfügung stellen können. Daher wird im Moment ausdrücklich von der Nutzung des Programms abgeraten. Alternativen stehen mit Google Chrome, Firefox und Opera sowie Safari ja etliche zur Verfügung.

Was kann ich trotzdem tun, wenn ich den Internet Explorer weiter nutzen möchte?

Als Workaround könnte z.B. die Exploit-Bremse EMET installiert werden und hat sich am praxistauglichsten erwiesen.

Alternativ lassen sich auch ActiveX und Active Scripting komplett deaktivieren, wenn man die Sicherheit der Internet/Intranet Zone auf „Hoch“ setzt. Das dürfte jedoch auf anderen Seiten zu erheblichen Problemen führen und somit einen faden Beigeschmack haben.

Der mit Windows 8 installierte Internet Explorer 10 ist von der Sicherheitslücke übrigens nicht betroffen.

Wann ist mit einem Patch von Microsoft zu rechnen?

Ob die Lücke erst mit dem Planmäßigen Updates am Patchday im Oktober geschlossen wird ist noch offen. Wer den IE jedoch weiterhin nutzt, sollte unbedingt handeln und eine der oben beschriebenen Aktionen durchführen da schon ein Angriffsframework im Umlauf ist, dass die Sicherheitslücke ausnutzt.