Valve verhelpt 10 jaar oud beveiligingslek in Steam-platform

[Captain Kirk]

Steam is een platform voor de computer waarop gebruikers games en software kunnen aanschaffen. De kwetsbaarheid die Court ontdekte bevond zich in de Steam client library en kon een buffer overflow veroorzaken. Hiervoor moest een aanvaller speciaal geprepareerde UDP-pakketten naar het slachtoffer versturen. Er was geen interactie van de gebruiker vereist.

Het beveiligingslek was al minstens 10 jaar in de Steamsoftware aanwezig. Tot vorig jaar juli was het mogelijk om via de kwetsbaarheid willekeurige code op de systemen van gebruikers uit te voeren, zoals het installeren van malware. Valve had namelijk nagelaten een belangrijke beveiligingsmaatregel genaamd ASLR te implementeren. Address Space Layout Randomization (ASLR) maakt het lastiger voor een aanvaller om te voorspellen waar in het geheugen bepaalde delen van programma's worden geladen. Dit moet het uitbuiten van kwetsbaarheden in applicaties veel lastiger maken.

Sinds Valve deze maatregel vorig jaar juli toevoegde was het nog steeds mogelijk om via het beveiligingslek op afstand willekeurige code uit te voeren, maar was er een tweede kwetsbaarheid vereist om dit mogelijk te maken. Court meldde het probleem op 20 februari van dit jaar aan Valve. Twaalf uur later was het al in een betaversie van de software gepatcht. Op 22 maart werd de beveiligingsupdate onder gebruikers uitgerold.

 

 

bron: security.nl