Vorsicht: "steam://"-Protokoll angreifbar

Bild von Jan
Jan 2916 EXP - Freier Redakteur,R10,S10,C10,A10
Alter Haudegen: Ist seit mindestens 5 Jahren bei GG.de registriertAlter Haudegen: Ist seit mindestens 3 Jahren bei GG.de registriertSilber-Archivar: Hat Stufe 10 der Archivar-Klasse erreichtSilber-Cutter: Hat Stufe 10 der Cutter-Klasse erreichtSilber-Schreiber: Hat Stufe 10 der Schreiber-Klasse erreichtSilber-Reporter: Hat Stufe 10 der Reporter-Klasse erreichtBronze-Archivar: Hat Stufe 5 der Archivar-Klasse erreichtLoyalist: Ist seit mindestens einem Jahr bei GG.de dabeiBronze-Cutter: Hat Stufe 5 der Cutter-Klasse erreichtBronze-Schreiber: Hat Stufe5 der Schreiber-Klasse erreichtBronze-Reporter: Hat Stufe 6 der Reporter-Klasse erreichtStar: Hat 1000 Kudos für eigene News/Artikel erhalten

16. Oktober 2012 - 19:18 — vor 4 Jahren zuletzt aktualisiert

Gemäß einem ausführlich dokumentierten 0day Exploit (siehe Quelle) sind Steam, darüber angebotene Spiele und folglich das System des Benutzers angreifbar – derzeit gibt es jedoch keine Anzeichen dafür, dass der Exploit aktiv ausgenutzt wird.

Laut Dokumentation wird für diesen Angriff das steam://-Protokoll ausgenutzt, das manipulierte Anfragen über den Browser an Steam beziehungsweise den integrierten Steam-Browser (Webkit basiert) weiterleitet. Solche böswilligen steam://-Links können von Webseiten stammen oder auch in Steam-Benutzer-Profilen auftauchen – der offizielle Steam-Shop ist davon nicht betroffen. Über Fehler in Spiele-Quellcodes (siehe Proof of Concept Video) oder deren Update-Mechanismen kann ein Angreifer dann beliebig Daten auf dem System des Benutzers verändern.

Einen Patch für das Steam-Netzwerk muss Valve Software liefern, da nicht zu erwarten ist, dass Spiele-Entwickler die zahlreich vorhandenen Fehler in ihren Quellcodes fixen.

Temporärer Fix: Deaktiviert das steam://-Protokoll in euren Browsern und achtet vorerst darauf, was ihr anklickt. Betroffen sind alle Browser (Firefox, IE, Opera, Safari, ...) und alle Plattformen (Win, Mac & Linux). Anleitungen könnt ihr dem ersten Kommentar unter dieser Meldung entnehmen.

Video:

Jan Freier Redakteur - 2916 - 16. Oktober 2012 - 19:24 #

Firefox
[Windows] Extras -> Einstellungen -> Anwendungen -> steam -> "Jedes Mal nachfragen"
[Ubuntu] Bearbeiten -> Einstellungen -> Anwendungen -> steam -> "Immer nachfragen"

Google Chrome
wegen eines Bugs in Google Chrome könnt ihr die Handlers-Einstellung nur manuell ändern. Anleitung (engl.) @ http://tinyurl.com/8nx6qmx

Atlas (unregistriert) 16. Oktober 2012 - 19:36 #

--> Firefox > Extras > Einstellungen > Anwendungen > steam > "Jedes Mal nachfragen"

CoCoNUT31 10 Kommunikator - 540 - 16. Oktober 2012 - 20:41 #

Chrome fragt für gewöhnlich nach ob die jeweilige Anwendung ausgeführt werden soll, dennoch können die Anwendungsprotokolle unter:
 

Einstellungen > Erweiterte Einstellungen > Inhaltseinstellungen > Handler verwalten

 
entfernt oder auch komplett ausgeschaltet werden.

MrFawlty 17 Shapeshifter - P - 6325 - 16. Oktober 2012 - 20:49 #

Unter "Handler verwalten" kommt bei mir nur ein leeres Fenster, da sind keine Einträge.

"Ausführung von JavaScript für alle Websites zulassen (empfohlen)" ist aktiviert. Ist das jetzt gut oder schlecht?

Jan Freier Redakteur - 2916 - 16. Oktober 2012 - 20:58 #

Heh, das ist offenbar ein Bug in Chrome -- kann ich reproduzieren. Siehe dazu auch: https://productforums.google.com/forum/?fromgroups=#!topic/chrome/sPhxiTQlf4s

Sorry.

Javascript hat damit nix zu tun.

MrFawlty 17 Shapeshifter - P - 6325 - 17. Oktober 2012 - 8:33 #

Bin beim kopieren in der Zeile verrutscht, ich meinte
"Registrierung von Websites als Standard-Handler für Protokolle zulassen (empfohlen)".
Ich habe das jetzt vorsichtshalber mal auf "Verarbeitung von Protokollen für keine Website zulassen" umgestellt.

Jan Freier Redakteur - 2916 - 17. Oktober 2012 - 13:54 #

Vllt. hilft es: http://tinyurl.com/8nx6qmx

CoCoNUT31 10 Kommunikator - 540 - 16. Oktober 2012 - 21:24 #

Sollte eine Anwendung über ein Protokoll gestartet werden, erscheint erstmal dieses Fenster: http://i.imgur.com/mAK6g.png

Wenn du die Einstellung beibehälst, erscheint die Anwendung bzw. das Protokoll in dem Handlerfenster, dort kannst du sie bei Bedarf im Nachhinein löschen.

Rhino (unregistriert) 16. Oktober 2012 - 21:12 #

[Gehirn] Anschalten -> Auf illegalen Seiten oder in seltsamen Mails nicht auf Links klicken

Tr1nity 26 Spiele-Kenner - P - 73397 - 16. Oktober 2012 - 21:21 #

Im Prinzip richtig. Zudem Mails in Plain-Text lesen (und schreiben) - nur keine Links anklicken reicht nicht. Einen z.B. Drive-by-Schädling kann man sich aber auch auf einer nicht illegalen Seite einfangen.

MrFawlty 17 Shapeshifter - P - 6325 - 17. Oktober 2012 - 8:46 #

Genau, zum einen können auch legale Seiten gehackt werden und Schadsoftware verbreiten. Vor nicht allzu langer Zeit bei Computec (u.a. pcgames.de, buffed.de) und wetter.com passiert.

Und es kann auch passieren, dass über eine Werbeeinblendung (es reicht die Anzeige, ein klick ist nicht notwendig) Schad-Code ausgeführt wird. Das ist 2010 bei heise.de und handelsblatt.de passiert, weil die Betreiber der Webseiten die Werbung nicht selbst einstellen, sondern diese von diversen externen Quellen automatisch geladen wird.

Ardrianer 19 Megatalent - P - 18208 - 17. Oktober 2012 - 0:50 #

ah gut, war bei mir eh schon so eingestellt :)
danke trotzdem für den Hinweis

MachineryJoe 16 Übertalent - P - 4299 - 17. Oktober 2012 - 7:38 #

Bei mir war das auch schon so eingestellt, dass er immer nachfragen soll, dabei war ich noch nie in diesem Einstellungsdialog.

Tarak 10 Kommunikator - 416 - 16. Oktober 2012 - 19:35 #

Mal ne Frage wie deaktiviere ich das unter Win7 64bit im Firefox

RyuKawano 11 Forenversteher - 711 - 16. Oktober 2012 - 19:37 #

Genau auf denselben Weg wie über dir.

Lyhawk 15 Kenner - P - 2979 - 16. Oktober 2012 - 20:55 #

Ist es auch normal wenn unter Einstellungen>Anwendungen bei Firefox gar kein Eintrag für steam ist? Ist zumindest bei mir so obwohl ich steam habe.

Danke im voraus.

Jan Freier Redakteur - 2916 - 16. Oktober 2012 - 21:05 #

Dann gibt es keinen Grund zur Sorge.

Name (unregistriert) 16. Oktober 2012 - 19:47 #

Wenn Steam nicht geladen ist (autostart -> dann auf offline klicken, dann beenden), greift der Exploit dann immer noch oder läuft er ins leere?

Name2 (unregistriert) 16. Oktober 2012 - 20:25 #

Ja, weil jeder Browser ein, für ein bestimmtes Protokoll angegebenes Programm, auch starten kann. Mit anderen worten, wenn du einen entsprechenden Link aufrufst, dann öffnet der Browser Steam, wenn du nicht die Art, wie er mit anderen Anwendungen interagieren soll, änders. Siehe weiter oben.

Name2 (unregistriert) 16. Oktober 2012 - 20:32 #

Nein, also der Exploit funktioniert weiterhin. Freudscher ;)

LittlePolak 13 Koop-Gamer - 1583 - 16. Oktober 2012 - 19:49 #

Danke für den Hinweis!

guapo 18 Doppel-Voter - 9878 - 16. Oktober 2012 - 19:59 #

Kudos

nikk9 14 Komm-Experte - 2669 - 16. Oktober 2012 - 20:07 #

Danke für die Warnung. Habe die Option leider für Chrome noch nicht finden können, mag mir jemand auf die Sprünge helfen?

Grumpy 16 Übertalent - 4500 - 16. Oktober 2012 - 20:19 #

zumindest bei mir fragt chrome sowieso bei jedem mal nach.
du kannst es ja auf der offiziellen steam seite mal mit einer demo testen, ob du erst gefragt wirst, ob das protokoll ausgeführt werden soll, oder ob es automatisch geschieht.

nikk9 14 Komm-Experte - 2669 - 17. Oktober 2012 - 0:08 #

Du hast recht.. Danke dir^^

MicBass 19 Megatalent - 14265 - 16. Oktober 2012 - 20:14 #

Schönen Dank!

Exocius 17 Shapeshifter - P - 7199 - 16. Oktober 2012 - 20:14 #

Danke für die Info.

Tarak 10 Kommunikator - 416 - 16. Oktober 2012 - 20:54 #

Ich hab wohl Glück. Hab Steam installiert es taucht im Firefox unter Anwendungen aber nicht auf. Liegt das daran das ich Firefox gestern frisch aufgespielt habe? Ich meine ist ja gut das es nicht auftaucht, dann wird auch nix ausgeführt.

Jan Freier Redakteur - 2916 - 16. Oktober 2012 - 21:07 #

Ja, klingt plausibel.

Superhuman (unregistriert) 17. Oktober 2012 - 7:15 #

Ich glaube das hat nen anderen Grund: Steam installiert von sich aus den Handler nicht in den Browsern. Erst wenn man das erste mal einen steam:// Link anklickt fragt der Browser nach was er damit machen soll und legt einen Eintrag in der Anwendungsliste an.

Hemaehn 16 Übertalent - 4560 - 16. Oktober 2012 - 22:17 #

Hab ich noch nie von gehört von dem steam:// Protokoll.
Kenn das von Trackmania oder sowas, da hab ich das mal gesehn. Aber bei Steam noch nie. ^^

Epic Fail X 15 Kenner - P - 3578 - 17. Oktober 2012 - 0:07 #

Die Browser scheinen doch recht unterschiedlich auf das steam://-Protokoll zu reagieren:

"According to tests performed by the ReVuln researchers, Internet Explorer 9, Google Chrome and Opera display warnings and the full or partial steam:// URLs before passing them to the Steam client for execution. Firefox also requests user confirmation, but doesn't display the URL and provides no warning, while Safari automatically executes steam:// URLs without user confirmation, the researchers said."

Kann ja jeder selber ausprobieren, wie der Browser reagiert, wenn man einen steam://-Link aufruft (z.B. mit steam://takesurvey/1/ )
Bei mir kommt erst eine Nachfrage von Opera ob das "unbekannte Protokoll" gestartet werden soll und dann meldet sich auch noch Win7 und will eine Genehmigung, dass die steam.exe starten darf (bei bereits laufendem Steam wohlgemerkt).

33nlmfm (unregistriert) 17. Oktober 2012 - 7:43 #

Unter 7 wird es sich dabei um einen leicht falschen Dialog handeln.
Wenn du Steam auf hast und Win7 will trotzdem die Exe starten, dann meint der Dialog eigentlich, ob du einen Zugriff von einem anderen Programm auf die Steam.exe genemigen willst.

Aus dem Grund habe ich die UAC als erstes rausgeschmissen und sie durch Defence+ der Comodo Firewall ersetzt. Die fragt zwar gerne kryptisch, dafür aber auch korrekt und bei jedem kleinen Furz (und nicht, möchten sie dem Programm alles erlauben?).

Sok4R 16 Übertalent - P - 4432 - 17. Oktober 2012 - 7:20 #

Ist der Steam-Browser wirklich Webkit basiert? Aufgrund der Darstellung (und das teilweise tierisch lahm ist) dachte ich bisher, er baut auf der IE-Engine auf. Zumindest auf Windows.

Dennis Ziesecke Freier Redakteur - 29503 - 17. Oktober 2012 - 7:55 #

Soweit ich es mitbekommen habe, basierte der Steam-Browser lange Zeit auf dem IE, wurde dann aber auf Webkit geändert.

McMenger 08 Versteher - 208 - 18. Oktober 2012 - 6:14 #

"und achtet vorerst darauf, was ihr anklickt."

Wirklich? Ich würde ja sagen: Achtet immer darauf, was ihr anklickt... :-/

Kommentar hinzufügen

Neuen Kommentar abgeben
(Antworten auf andere Comments bitte per "Antwort"-Knopf.)
Mitarbeit