Gemäß einem ausführlich dokumentierten 0day Exploit (siehe Quelle) sind Steam, darüber angebotene Spiele und folglich das System des Benutzers angreifbar – derzeit gibt es jedoch keine Anzeichen dafür, dass der Exploit aktiv ausgenutzt wird.
Laut Dokumentation wird für diesen Angriff das steam://-Protokoll ausgenutzt, das manipulierte Anfragen über den Browser an Steam beziehungsweise den integrierten Steam-Browser (Webkit basiert) weiterleitet. Solche böswilligen steam://-Links können von Webseiten stammen oder auch in Steam-Benutzer-Profilen auftauchen – der offizielle Steam-Shop ist davon nicht betroffen. Über Fehler in Spiele-Quellcodes (siehe Proof of Concept Video) oder deren Update-Mechanismen kann ein Angreifer dann beliebig Daten auf dem System des Benutzers verändern.
Einen Patch für das Steam-Netzwerk muss Valve Software liefern, da nicht zu erwarten ist, dass Spiele-Entwickler die zahlreich vorhandenen Fehler in ihren Quellcodes fixen.
Temporärer Fix: Deaktiviert das steam://-Protokoll in euren Browsern und achtet vorerst darauf, was ihr anklickt. Betroffen sind alle Browser (Firefox, IE, Opera, Safari, ...) und alle Plattformen (Win, Mac & Linux). Anleitungen könnt ihr dem ersten Kommentar unter dieser Meldung entnehmen.
Firefox
[Windows] Extras -> Einstellungen -> Anwendungen -> steam -> "Jedes Mal nachfragen"
[Ubuntu] Bearbeiten -> Einstellungen -> Anwendungen -> steam -> "Immer nachfragen"
Google Chrome
wegen eines Bugs in Google Chrome könnt ihr die Handlers-Einstellung nur manuell ändern. Anleitung (engl.) @ http://tinyurl.com/8nx6qmx
--> Firefox > Extras > Einstellungen > Anwendungen > steam > "Jedes Mal nachfragen"
Chrome fragt für gewöhnlich nach ob die jeweilige Anwendung ausgeführt werden soll, dennoch können die Anwendungsprotokolle unter:
Einstellungen > Erweiterte Einstellungen > Inhaltseinstellungen > Handler verwalten
entfernt oder auch komplett ausgeschaltet werden.
Unter "Handler verwalten" kommt bei mir nur ein leeres Fenster, da sind keine Einträge.
"Ausführung von JavaScript für alle Websites zulassen (empfohlen)" ist aktiviert. Ist das jetzt gut oder schlecht?
Heh, das ist offenbar ein Bug in Chrome -- kann ich reproduzieren. Siehe dazu auch: https://productforums.google.com/forum/?fromgroups=#!topic/chrome/sPhxiTQlf4s
Sorry.
Javascript hat damit nix zu tun.
Bin beim kopieren in der Zeile verrutscht, ich meinte
"Registrierung von Websites als Standard-Handler für Protokolle zulassen (empfohlen)".
Ich habe das jetzt vorsichtshalber mal auf "Verarbeitung von Protokollen für keine Website zulassen" umgestellt.
Vllt. hilft es: http://tinyurl.com/8nx6qmx
Sollte eine Anwendung über ein Protokoll gestartet werden, erscheint erstmal dieses Fenster: http://i.imgur.com/mAK6g.png
Wenn du die Einstellung beibehälst, erscheint die Anwendung bzw. das Protokoll in dem Handlerfenster, dort kannst du sie bei Bedarf im Nachhinein löschen.
[Gehirn] Anschalten -> Auf illegalen Seiten oder in seltsamen Mails nicht auf Links klicken
Im Prinzip richtig. Zudem Mails in Plain-Text lesen (und schreiben) - nur keine Links anklicken reicht nicht. Einen z.B. Drive-by-Schädling kann man sich aber auch auf einer nicht illegalen Seite einfangen.
Genau, zum einen können auch legale Seiten gehackt werden und Schadsoftware verbreiten. Vor nicht allzu langer Zeit bei Computec (u.a. pcgames.de, buffed.de) und wetter.com passiert.
Und es kann auch passieren, dass über eine Werbeeinblendung (es reicht die Anzeige, ein klick ist nicht notwendig) Schad-Code ausgeführt wird. Das ist 2010 bei heise.de und handelsblatt.de passiert, weil die Betreiber der Webseiten die Werbung nicht selbst einstellen, sondern diese von diversen externen Quellen automatisch geladen wird.
ah gut, war bei mir eh schon so eingestellt :)
danke trotzdem für den Hinweis
Bei mir war das auch schon so eingestellt, dass er immer nachfragen soll, dabei war ich noch nie in diesem Einstellungsdialog.
Mal ne Frage wie deaktiviere ich das unter Win7 64bit im Firefox
Genau auf denselben Weg wie über dir.
Ist es auch normal wenn unter Einstellungen>Anwendungen bei Firefox gar kein Eintrag für steam ist? Ist zumindest bei mir so obwohl ich steam habe.
Danke im voraus.
Dann gibt es keinen Grund zur Sorge.
Wenn Steam nicht geladen ist (autostart -> dann auf offline klicken, dann beenden), greift der Exploit dann immer noch oder läuft er ins leere?
Ja, weil jeder Browser ein, für ein bestimmtes Protokoll angegebenes Programm, auch starten kann. Mit anderen worten, wenn du einen entsprechenden Link aufrufst, dann öffnet der Browser Steam, wenn du nicht die Art, wie er mit anderen Anwendungen interagieren soll, änders. Siehe weiter oben.
Nein, also der Exploit funktioniert weiterhin. Freudscher ;)
Danke für den Hinweis!
Kudos
Danke für die Warnung. Habe die Option leider für Chrome noch nicht finden können, mag mir jemand auf die Sprünge helfen?
zumindest bei mir fragt chrome sowieso bei jedem mal nach.
du kannst es ja auf der offiziellen steam seite mal mit einer demo testen, ob du erst gefragt wirst, ob das protokoll ausgeführt werden soll, oder ob es automatisch geschieht.
Du hast recht.. Danke dir^^
Schönen Dank!
Danke für die Info.
Ich hab wohl Glück. Hab Steam installiert es taucht im Firefox unter Anwendungen aber nicht auf. Liegt das daran das ich Firefox gestern frisch aufgespielt habe? Ich meine ist ja gut das es nicht auftaucht, dann wird auch nix ausgeführt.
Ja, klingt plausibel.
Ich glaube das hat nen anderen Grund: Steam installiert von sich aus den Handler nicht in den Browsern. Erst wenn man das erste mal einen steam:// Link anklickt fragt der Browser nach was er damit machen soll und legt einen Eintrag in der Anwendungsliste an.
Hab ich noch nie von gehört von dem steam:// Protokoll.
Kenn das von Trackmania oder sowas, da hab ich das mal gesehn. Aber bei Steam noch nie. ^^
Die Browser scheinen doch recht unterschiedlich auf das steam://-Protokoll zu reagieren:
"According to tests performed by the ReVuln researchers, Internet Explorer 9, Google Chrome and Opera display warnings and the full or partial steam:// URLs before passing them to the Steam client for execution. Firefox also requests user confirmation, but doesn't display the URL and provides no warning, while Safari automatically executes steam:// URLs without user confirmation, the researchers said."
Kann ja jeder selber ausprobieren, wie der Browser reagiert, wenn man einen steam://-Link aufruft (z.B. mit steam://takesurvey/1/ )
Bei mir kommt erst eine Nachfrage von Opera ob das "unbekannte Protokoll" gestartet werden soll und dann meldet sich auch noch Win7 und will eine Genehmigung, dass die steam.exe starten darf (bei bereits laufendem Steam wohlgemerkt).
Unter 7 wird es sich dabei um einen leicht falschen Dialog handeln.
Wenn du Steam auf hast und Win7 will trotzdem die Exe starten, dann meint der Dialog eigentlich, ob du einen Zugriff von einem anderen Programm auf die Steam.exe genemigen willst.
Aus dem Grund habe ich die UAC als erstes rausgeschmissen und sie durch Defence+ der Comodo Firewall ersetzt. Die fragt zwar gerne kryptisch, dafür aber auch korrekt und bei jedem kleinen Furz (und nicht, möchten sie dem Programm alles erlauben?).
Ist der Steam-Browser wirklich Webkit basiert? Aufgrund der Darstellung (und das teilweise tierisch lahm ist) dachte ich bisher, er baut auf der IE-Engine auf. Zumindest auf Windows.
Soweit ich es mitbekommen habe, basierte der Steam-Browser lange Zeit auf dem IE, wurde dann aber auf Webkit geändert.
"und achtet vorerst darauf, was ihr anklickt."
Wirklich? Ich würde ja sagen: Achtet immer darauf, was ihr anklickt... :-/