Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
 
News Disclaimer
 

Unsichere Deserialisierung gefährdet Steam-Spiele

21.04.2020

 zur Newsdatenbank home

In Zeiten von Corona wird Homeoffice stärker denn je betrieben. Dabei werden die Systeme für Arbeit und Freizeit & Spiel nicht getrennt, sondern viele arbeiten von ihrem eigenen Rechner. Da aber viele Videospiele (die bei vielen installiert sind) Microsofts Entwicklungsframework .Net oder die bei Entwicklern beliebte Unity-Engine nutzen, die auf einer angepassten .Net-Runtime basiert, ist das Risiko, angegriffen zu werden, aufgrund Sicherheitslücken erhöht.

Denn sehr viele dieser Spiele sind über Sicherheitslücken bei der Deserialisierung von Speicherständen oder Modding-Inhalten angreifbar. In den meisten Fällen können diese Angriffe zur Ausführung von beliebigem Schadcode mit Nutzerrechten missbraucht werden. Bei der Untersuchung einer typischen Steam-Bibliothek mit knapp 400 Spielen haben Sicherheitsforscher der Schweizer Sicherheitsfirma Modzero knapp 30 Titel gefunden, die für Deserialisierungs-Angriffe anfällig waren. Für 14 Spiele davon konnten sie sogar funktionierende Exploits entwickeln.

Mit Hilfe eines selbstentwickelten Software-Tools konnten die schweizer Sicherheitsforscher alle Spiele in der Bibliothek automatisch nach sogenannten Deserialisation Gadgets durchsuchen, wie sie in einem Blog-Eintrag erklären. Es handelt sich dabei um Funktionen im Programmcode, bei denen bekannt ist, dass sie für Deserialisierungs-Angriffe missbraucht werden können. Diese kommen bei Spielen, die .Net-Code verwenden, vor allem in der Funktion BinaryFormatter vor. Die Sicherheitsforscher beschreiben konkret die Spiele Tabletop Simulator und Totally Accurate Battle Simulator. Bei diesen beiden Spielen wurden die im Modzero-Blog beschriebenen Lücken vor Erscheinung des Berichts der Forscher geschlossen.

Unter Deserialisierung wird der Prozess, mit dem ein Programm Daten aus einer sequenziellen Darstellungsform (z.B. Text- oder Binärdatei) einliest und in Objekte umwandelt, mit denen es interaktiv arbeiten kann, verstanden. In einer Speicherform mit Random Access (z.B. Arbeitsspeicher) liegen die Daten dann vor. Dies kommt bei Videospielen etwa beim Laden von Spielständen oder beim Aktivieren von Mods oder anderem Inhalt, der von Dritten entwickelt und als Dateien heruntergeladen wird, vor. Somit werden Daten aus einer nicht vertrauenswürdigen Quelle deserealisieren, was ein bekanntes Sicherheitsproblem ist.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89