Zuhause > Cyber ​​Aktuelles > CVE-2020-6016: Kritische Fehler in der Steam Core Networking Library von Valve
CYBER NEWS

CVE-2020-6016: Kritische Fehler in der Steam Core Networking Library von Valve

Online-Spieler spielenSicherheitsforscher berichteten über mehrere kritische Mängel in einer zentralen Netzwerkbibliothek, die das Online-Gaming von Valve unterstützt. Die Fehler könnten es Bedrohungsakteuren ermöglicht haben, Spiele zum Absturz zu bringen und die Kontrolle über Spieleserver von Drittanbietern aus der Ferne zu erlangen. Check Point hat die Sicherheitslücken entdeckt.

Zunächst, Was ist Valve?? Valve ist ein bekannter US-amerikanischer Videospielentwickler und Herausgeber von Steam und Spielen wie Counter-Strike, Tag der Niederlage, Halbes Leben, Team Festung, Links 4 tot, und Dota.

Mehrere kritische Fehler in der Game Networking Sockets Library von Valve

Während der Forschung, Das Team deckte mehrere Schwachstellen bei der Implementierung der Game Networking Sockets-Bibliothek auf. Die auf den Problemen basierenden Angriffsszenarien sind sehr vielseitig.




“Beispielsweise, beim Spielen gegen einen Online-Gegner, Ein Angreifer kann den Spielclient des Gegners aus der Ferne zum Absturz bringen, um einen Gewinn zu erzwingen; unter bestimmten Bedingungen, sie können sogar eine durchführen “nukleare Wut aufhören” und stürze den Valve-Spieleserver ab, Stellen Sie sicher, dass niemand zum Spielen kommt,” Check Point erklärt.

Für den Fall, dass jemand einen Spieleentwickler von Dritten spielt, Angreifer können den Spielserver sogar aus der Ferne übernehmen, um eine beliebige Codeausführung durchzuführen. Sobald die Serversteuerung erreicht ist, Der gleiche Fehler kann erneut ausgenutzt werden, um alle verbundenen Spieler zu übernehmen.

So, Welches sind die Schwachstellen, die diese Angriffe ermöglichen?? Das Forschungsteam deckte vier verschiedene auf:

  • CVE-2020-6016
  • CVE-2020-6017
  • CVE-2020-6018
  • CVE-2020-6019

CVE-2020-6016

Das faszinierendste auf der Liste ist CVE-2020-6016, wie es erfordert “Kenntnis esoterischer Themen.” Dieses Wissen beinhaltet “die Finder-Details des C ++ - Standards und die Implementierung des GNUC-Compilers. “In einem entscheidenden Moment, als der Angriffsplan verloren schien, Wir konnten uns auf einen cleveren Hack von C ++ einlassen, um einen ergonomischeren Einsatz von Iteratoren zu ermöglichen,” Überprüfen Sie Pint in ihrem Bericht hinzugefügt.

Nach der offiziellen Beschreibung, CVE-2020-6016 ist eine Heap-basierte Buffer Underflow-Sicherheitsanfälligkeit, die zu Speicherbeschädigung und RCE führen kann:

Die Game Networking Sockets von Valve vor Version v1.2.0 verarbeiten unzuverlässige Segmente mit negativen Offsets in der Funktion SNP_ReceiveUnreliableSegment nicht ordnungsgemäß(), Dies führt zu einem Heap-basierten Puffer-Unterlauf und einem freien() Speicher nicht vom Haufen, Dies führt zu einer Speicherbeschädigung und wahrscheinlich sogar zu einer Remotecodeausführung.

Zum Glück für Spiele, Ein Fix wurde bereits geprägt. Mit anderen Worten, wenn Sie einer der unzähligen Spieler sind, die Valves Spiele über Steam spielen, Sie sind bereits geschützt. Jedoch, wenn Sie Spiele von Drittanbietern spielen, Möglicherweise müssen Sie einige Monate warten, Als Spiel sollten Clients unabhängig voneinander aktualisieren, um mögliche Angriffe abzuschwächen.

Wenn Sie an einer technischeren Perspektive der Sicherheitslücken interessiert sind, du solltest lesen Die recht detaillierte Analyse von Check Point.


In 2018, Sicherheitsforscher Artem Moskowsky entdeckt eine gefährliche Valve-Sicherheitslücke Ermöglichen, dass böswillige Benutzer die Lizenzschlüssel für im Store verfügbare Inhalte anzeigen. Dies bedeutet, dass jedes Computerspiel oder jede Software erworben werden kann. Das Problem befand sich im Steam-Entwicklerportal, das ausgenutzt werden konnte, um die Lizenzschlüssel für veröffentlichte Inhalte auf der Plattform anzuzeigen.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau