{"id":221932,"date":"2019-08-23T08:20:18","date_gmt":"2019-08-23T06:20:18","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=221932"},"modified":"2023-07-29T08:58:30","modified_gmt":"2023-07-29T06:58:30","slug":"valve-patcht-letzte-0-day-schwachstelle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/08\/23\/valve-patcht-letzte-0-day-schwachstelle\/","title":{"rendered":"Valve patcht letzte 0-day-Schwachstelle"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Anbieter Valve patcht die letzte 0-day-Schwachstelle in seinem Streaming Client. Weiterhin wird der Bann des Entdeckers aus der Entwickler-Community als Fehler angesehen. Und es gibt neue Regeln f\u00fcr das Bug-Bounty-Programm.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg01.met.vgwort.de\/na\/7a2df601d919438789125e14dea7faf0\" width=\"1\" height=\"1\"\/>Es gab ja einige Aufregung um eine Schwachstelle im Steam-Spiele-Client f\u00fcr Windows. Ich hatte im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2019\/08\/08\/windows-steam-schwachstelle-cve-2015-7985-wieder-offen\/\">Windows Steam-Schwachstelle CVE-2015-7985 wieder offen<\/a> \u00fcber eine Schwachstelle berichtet, das Ganze aber nicht weiter im Detail verfolgt. Was ich mitbekommen hatte: Steam sprach davon, dass die Schwachstelle keine Schwachstelle sei \u2013 und der Entdecker der 0-day-L\u00fccke wurde aus der Entwickler-Community rausgeworfen.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Valve patches recent Steam zero-days (both of them), calls turning away researcher 'a mistake'<\/p>\n<p>-also updates bug bounty program rules to accept LPEs<br \/>-is also reviewing researcher's ban<a href=\"https:\/\/t.co\/IsJAw3tLM9\">https:\/\/t.co\/IsJAw3tLM9<\/a> <a href=\"https:\/\/t.co\/JsjO00gHac\">pic.twitter.com\/JsjO00gHac<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1164600650199699456?ref_src=twsrc%5Etfw\">August 22, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Den neusten Nachrichten auf Twitter entnehme ich nun, dass Valve zur\u00fcck rudert. Man hat einen Patch f\u00fcr die letzte 0-day-Schwachstelle freigegeben. Und den Rauswurf des Entdeckers aus der Community bezeichnet ein Sprecher von Valve als Fehler, den man untersucht. Zudem werden die Regeln f\u00fcr das Bug Bounty-Programm \u00fcberarbeitet, um so etwas k\u00fcnftig zu verhindern. <\/p>\n<h2>Das war passiert<\/h2>\n<p>Die Reaktion des Unternehmens kommt, nachdem dieses f\u00fcr seine schlechte Art und Weise kritisiert wurde, wie es mit gemeldeten Schwachstellen umgeht. Der Hintergrund: Letzten Monat wurde vom russischen Sicherheitsforscher Vasily Kravets ein Bug-Report zu einer Schwachstelle eingereicht. Aber die HackerOne-Mitarbeiter, die das Bug Bounty-Programm von Valve betreuen, teilten Kravets mit, dass der Fehler au\u00dferhalb des Anwendungsbereichs des Programms lag und dass Valve nicht beabsichtigte, diesen zu patchen.<\/p>\n<p>Beim Bug ging es um die M\u00f6glichkeit einer lokalen Privilegienerweiterung (LPE). Der Bug ist zwar nicht so gef\u00e4hrlich ist wie eine Schwachstelle f\u00fcr die Remotecodeausf\u00fchrung (RCE). Aber eine Malware, die bereits auf einem Computer vorhanden ist, k\u00f6nnte die Steam-App verwenden, um Administratorrechte zu erlangen und die volle Kontrolle \u00fcber einen Computer zu \u00fcbernehmen.<\/p>\n<p>Auch wenn Valve nicht beabsichtigte, den Fehler zu beheben, verbot das HackerOne-Team Kravets, die Schwachstelle \u00f6ffentlich bekannt zu geben. Das h\u00e4tte bedeutet, dass Millionen von Steam-Benutzern anf\u00e4llig f\u00fcr Angriffe geblieben w\u00e4ren.<\/p>\n<p>Kravets enth\u00fcllte schlie\u00dflich <a href=\"https:\/\/web.archive.org\/web\/20230528130951\/https:\/\/amonitoring.ru\/article\/steamclient-0day\/\" target=\"_blank\" rel=\"noopener noreferrer\">Details \u00fcber die Schwachstelle<\/a> und wurde daraufhin aus dem Bug-Bounty-Programm von Valve verbannt. Damit haben die sich richtig in den Fu\u00df geschossen. Die Community war sauer, so dass Valve schlie\u00dflich eine L\u00f6sung f\u00fcr den von Kravets berichteten Bug lieferte. <\/p>\n<p>Aber ein anderer Forscher fand innerhalb weniger Stunden einen Weg, um den Fix auszuhebeln. Kravets ver\u00f6ffentlichte dann Details \u00fcber die <a href=\"https:\/\/web.archive.org\/web\/20230520170915\/https:\/\/amonitoring.ru\/article\/onemore_steam_eop_0day\/\" target=\"_blank\" rel=\"noopener noreferrer\">zweite Steam-Client LPE-Schwachstelle<\/a> auf seiner Website. Er konnte den Fehler ja nicht \u00fcber das Bug-Bounty-Programm des Unternehmens melden, denn er war ja rausgeworfen worden. Wie hei\u00dft es so sch\u00f6n: 'Dumm gelaufen und nix dazu gelernt'. <\/p>\n<p>Jetzt will sich Valve also bessern und hat sich neue Bug Bounty-Regeln gegeben. Details zu dem ganzen Fall und was sich \u00e4ndern soll, finden sich <a href=\"https:\/\/www.zdnet.com\/article\/valve-patches-recent-steam-zero-days-calls-turning-away-researcher-a-mistake\/\" target=\"_blank\" rel=\"noopener noreferrer\">bei ZDNet<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Anbieter Valve patcht die letzte 0-day-Schwachstelle in seinem Streaming Client. Weiterhin wird der Bann des Entdeckers aus der Entwickler-Community als Fehler angesehen. Und es gibt neue Regeln f\u00fcr das Bug-Bounty-Programm.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,185],"tags":[4328,3836,4315],"class_list":["post-221932","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-update","tag-sicherheit","tag-software","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/221932","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=221932"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/221932\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=221932"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=221932"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=221932"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}