Sicherheitslücken in Modern Warfare 3 und der CryEngine 3 entdeckt

PC
Bild von Dennis Kemna
Dennis Kemna 3851 EXP - 15 Kenner,R6,S1,J9
Dieser User unterstützt GG mit einem Abonnement oder nutzt Freimonate via GG-Gulden.Alter Haudegen: Ist seit mindestens 5 Jahren bei GG.de registriertAlter Haudegen: Ist seit mindestens 3 Jahren bei GG.de registriertDieser User hat uns an Weihnachten 2015 mit einer Spende von 25 Euro unterstützt.Dieser User hat uns an Weihnachten 2012 mit einer Spende von 12 Euro unterstützt.GG-Supporter: hat einmalig 10 Euro gespendetBronze-Jäger: Hat Stufe 5 der Jäger-Klasse erreichtVielspieler: Hat 250 Spiele in seine Sammlung eingetragenLoyalist: Ist seit mindestens einem Jahr bei GG.de dabeiBronze-Reporter: Hat Stufe 6 der Reporter-Klasse erreichtStar: Hat 1000 Kudos für eigene News/Artikel erhaltenGG-Spender: Hat eine Spende von 5 Euro an GG.de geschickt

14. November 2012 - 17:51 — vor 4 Jahren zuletzt aktualisiert
Call of Duty - Modern Warfare 3 ab 10,00 € bei Amazon.de kaufen.

Zwei Mitarbeiter des Sicherheits-Beratungsunternehmens ReVuln, namentlich Luigi Auriemma und Donato Ferrante, präsentierten am vergangenen Freitag in Seoul während der Sicherheitskonferenz Power of Community (POC2012) ihre Ergebnisse in Bezug auf Angriffsmöglichkeiten in Call of Duty - Modern Warfare 3 und der CryEngine 3.

Auriemma präsentierte in einem Video, wie über einen DDoS-Angriff Server von Call of Duty - Modern Warfare 3 zum Absturz gebracht werden können. Dabei erhält der Serveradministrator noch eine kurze Warnung bevor der Server unter der Last der Anfragen zusammenbricht. Zum Start von Call of Duty - Black Ops 2 wollen Auriemma und Ferrante Hinweise auf die Sicherheitslücken veröffentlichen. Mit Activision wollen sie zwar zusammenarbeiten, ihre Ergebnisse aber nicht teilen, da ihre Nachforschungen Teil des Firmenkapitals seien.

Das zweite sicherlich schwerwiegendere Problem betrifft die CryEngine 3. Mit Hilfe des Spiels Nexuiz gelang es den Sicherheitsexperten Zugriff auf einen Host-Server zu erlangen. Dadurch war es folgend möglich auf Computer von Nexuiz-Spielern einen Fernzugang einzurichten. Donato Ferrante kommentierte, dass mit dem Zugriff auf den Server im Grunde auf alle Daten eines Spielers zugegriffen werden könnte.

Als Resümee der Vorführung stellten beide dar, dass Spielefirmen die Sicherheit von Computerspielen oft zu Gunsten der Spielgeschwindigkeit opfern würden. In Spiele integrierte Sicherheitsabfragen würden diese langsamer machen, was für Firmen ein größeres Problem als die fehlende Sicherheit darstellt.

Ultrabonz 14 Komm-Experte - 2316 - 14. November 2012 - 17:54 #

Mir egal. Bei mir gibts nicht zu holen...

Anonhans (unregistriert) 15. November 2012 - 10:26 #

Irgendwas gibt es immer zu holen. Chatlogs, Passwörter (Steam, Skype, Banking etc.) oder persönliche Dokumente (Lebenslauf, Steuererklärung, andere Dokumente, mit Daten, die man nicht öffentlich haben will), die unter Umständen auch mal ganz gut zum Identitätsdiebstahl taugen können.
Und selbst wenn du wirklich keinerlei sensible Daten auf deinem Rechner hast und den nur fürs surfen auf Seiten benutzt, auf denen du keinerlei Passwörter eingeben musst (da du hier registriert bist, trifft das wohl kaum zu)...schlecht programmierter Schadsoftware kann auch gerne mal CPU und Internetleitung (Spamversand) merklich beeinträchtigen und dir im schlimmsten Fall auch dein System abschießen. Selbst wenn dann nichts "geklaut" wurde, kann das doch ganz schön nervig sein :)

Spartan117 13 Koop-Gamer - 1298 - 14. November 2012 - 18:00 #

Die können gerne meinen Schweinkram haben...

Epic Fail X 15 Kenner - P - 3698 - 14. November 2012 - 20:11 #

Dass man mit DDoS-Angriffen Server platt machen kann, hört sich für mich nicht gerade nach "breaking news" an.

Zaunpfahl 19 Megatalent - P - 14806 - 14. November 2012 - 22:31 #

Frag mich auch grade was das mit irgendwelchen Sicherheitslücken zu tun haben soll. Man kann -jedes- IP fähige Gerät mit DDoS lahmlegen wenn man genug Anfragen hinschickt. (Ja es gibt auch Schutzmechanismen dagegen, ich weiß, geht trotzdem)

Edit: aha, das liest sich dann doch schon ganz anders:
After 55 packets the server will crash due to a NULL pointer dereference.The UDP packets can be spoofed and the vulnerability affects both public and private servers. Please note that CoDMW3 public servers are listed online on the master servers, ___so an attacker may use this information to take down all the public servers at once.___

Primär Quelle: http://revuln.com/research.htm
bzw: http://revuln.com/files/ReVuln_CoDMW3_null_pointer_dereference.pdf

Decorus 16 Übertalent - 4246 - 14. November 2012 - 23:03 #

Hier auch das PDF der Präsentation:
http://revuln.com/files/Ferrante_Auriemma_0wning_Multiplayer_Online_Games.pdf
Ab Seite 23 wirds interessant.

MrWulf 10 Kommunikator - 476 - 16. November 2012 - 21:26 #

Hmm, 55 UDP Pakete sind in der Tat nicht gerade viel.

Kommentar hinzufügen

Neuen Kommentar abgeben
(Antworten auf andere Comments bitte per "Antwort"-Knopf.)
Mitarbeit
AgeBiGLo0seR
News-Vorschlag: