An häufige Sicherheitsupdates von Produkten aus dem Hause Adobe oder der Java-Installation haben sich viele Nutzer mittlerweile gewöhnt. Wie der Nachrichtenticker heise online berichtet, betrifft eine aktuelle Lücke jedoch den populären Steam-Client unter Windows.
Der Sicherheitsexperte Graham Sutherland berichtet in einem Blogeintrag, wie er eine entsprechende Meldung am 17. September 2013 an Valve schickte. In dieser beschreibt er, wie es für beliebige Prozesse möglich ist, den Steam-Client zum Absturz zu bringen oder sogar beliebigen Code auszuführen.
Als wäre dieses Problem nicht bereits schwerwiegend genug, so wird es durch ein zusätzliches Detail noch brisanter: Steam gönnt sich das ungewöhnliche Recht, andere Prozesse zu debuggen, also auf deren Programmablauf Einfluss zu nehmen oder sogar deren Speicher zu verändern. Dies wird verwendet, um Screenshots innerhalb laufender Spiele anzufertigen. Unglücklicherweise kann es ebenfalls benutzt werden, um Zugriff auf geschützte Prozesse zu erlangen.
Sutherland gab Valve 30 Tage Zeit, um auf das Problem zu reagieren. Am 9. Oktober schloss Valve das Ticket, lieferte jedoch weder eine Begründung für diesen Schritt noch einen Patch für den Steam-Client. Daraufhin stellte der Sicherheitsexperte die Informationen öffentlich in seinem Blog dar, was anscheinend zu Bewegung geführt hat: Laut einer Twitter-Meldung ist das Problem in der Beta vom 15. Oktober behoben.
Schön zu sehen, wie Valve dynamisch sofort reagiert und das Ticket nach einem Monat zumacht :)
Ist die andere Sache eigentlich gefixt worden?
http://www.gamersglobal.de/news/60096/vorsicht-steam-protokoll-angreifbar
Ja, laut Patchlogs einen Tag später.
Afaik werden Tickets nach einiger Zeit automatisch geschlossen, sobald ein Supporter geantwortet hat und der Ticketersteller darauf dann nicht erneut antwortet. Ob das bei sicherheitsrelevanten Tickets so sinnvoll ist, ist natürlich eine andere Frage.
Kundensupport ist meist ganz arg auf eine Palette von Problemen begrenzt, die vorher festgelegt wurde. Fällt ein Problem aus diesem Schema raus, weis der Supporter meist nichts damit anzufangen. Prozesse um es an entsprechende höhere Stellen weiterzugeben gibt es oft nicht. Oder falls doch, gibt es keine Garantie dass es dort auch gelesen wird. Je größer das Unternehmen, desto deutlicher kommt das zum Vorschein. Wer mal bei einem großen magentafarbenem ISP versucht hat ein Problem zu melden, das nicht ins übliche Fehlerschema hineinpasst, der kennt das vielleicht... ;)
Jap. Wobei das häufig auch eine Sache zwischen Dienstleister und Kunde ist. Der Dienstleister wird beauftragt X-Punkte eines Vertrages mit Problembeschreibungen zu erfüllen. Ausnahmeregelungen werden so selten gebraucht, dass dann kein Mensch weiß wie es funktioniert. Sollte Valve seinen Support ausgelagert haben jedenfalls. Aber davon ist eigentlich auszugehen, bei den Mitarbeiterzahlen die die melden. Für 5-6 Millionen Kunden Support zu leisten braucht eine ziemlich große Anzahl an Betreuern.
Und wenn dieser Dienstleister keinen vernünftigen Draht direkt zu Entwicklern hat - was der Regelfall ist, es wandert erst die eine Leiter nach oben und dann die andere wieder nach unten - dauert es mehrere Tage bis überhaupt jemand davon erfährt, der vielleicht sogar versteht was der gute Blogger da eigentlich schreibt.
Das Ticket wird nach 14 Tagen ohne Reaktion vermutlich automatisch geschlossen worden sein. Die etwas unfreundliche Antwort auf weitere Nachfrage war vermutlich auch nur ein "in dem alten Ticket stehen keine weiteren Infos" nur in dem missglückten Versuch das etwas schöner zu formulieren. Und das er sich direkt an Valve wenden soll, nicht an den ungenannten Support.
Einer dieser dumm gelaufenen Fälle, die alle paar Wochen einfach mal vorkommen. Ich spreche aus Erfahrung ;)
Ist wohl nicht so viel dran an der schönen neuen Valve-Welt, wie sich das einige so vorstellen.
Diese Art der Kommunikation, welche offenbar sehr einseitig war, ist nicht gerade vorbildlich.
Tja. Nichts neues. Valve befindet sich da in bester Gesellschaft.
Aufgrund des generellen Inhalts würde ich die News gerne als Top News sehen, wenn es viele Leute wissen ist die chance für einen Shitstorm in den Steamforen größer und auf was anderes reagieren viele Firmen ja heute garnicht mehr.
Dafür! Das Problem ist leider viel zu oft das Unternehmen nicht verstehen das Krisenkommunikation bei IT-Sicherheit (insbesondere bei existenten Lücken!) wichtig ist und das Vertrauen der Kunden in einen Anbieter erhöhen kann.
Wieso?
Vertrauen lässt sich schlecht in Euro umrechnen und das lässt sich somit schlecht dem mittleren & oberen Management präsentieren, wo das aber erstmal durch muss um dann ganz oben abgesegnet zu werden..
Wenn so eine Sicherheitlücke keine Top-News ist, was dann. Ach, isses doch schon!
Eine theoretische Sicherheitslücke, die schon längts gefixt wurde.
Big News: Es gibt kein sicheres System. Mit genügend Brute Force kann die NSA ALLES knacken. Den PC nicht mit dem Internet zu verbinden ist die einzige Möglichkeit, um nicht ausspioniert werden zu können.
Sie wurde behoben, jedoch nur in einer Betaversion, die sich längst nicht jeder Nutzer manuell installiert.
Mit genügend Arbeitsaufwand kommt ein Einbrecher in jedes Haus, dies bedeutet also das es egal ist wie gut wir das Haus sichern und können die Schlüssel für die Türe einfach von außen stecken lassen...
Schmarrn. Wer besser gesichert ist als der Nachbar, verringert sein Risiko. Egal ist das nicht.
Trägst Du darum einen Hut aus Alu-Folie?
Grundsätzlich!
Magneto detected. :O
Ja, sowas ist eindeutig eine Top-News, denn die überwiegende Mehrheit nutzt ja Steam und sollte daher Bescheidt wissen.
Tauschen wir den Titel zu "Sicherheitslücke von Origin-Konkurrent [...]" und hoffen, dass es an der richtigen Stelle auf der Startseite abgeschnitten wird, dann treibt sich der Hot-Status schon von selbst nach oben. :)
oha!
Alles nur wilde Verschwörungstheorien!
Jemand sollte eine Ode an den totgeglaubten PC und einen Liebesbrief an Steam schreiben.
muhahahahaha
Also ich wäre ja für Ode an den PC und Liebesbrief an den Steam-Henker.
Leider gab es deine beiden schon :-(.
An den Liebesbrief erinner ich mich auch noch ^^
Man kann ja schon sagen das einige Firmen angenehmer daherkommen wie andere. Der Firma die mich einstellt stehe ich wohlgesonnener gegenüber als die Firma die mich entliess. Alles relativ ^^
Soweit zum Thema "Valve gehören zu den Guten" - hat schon bei Google nie gestimmt...
Und wie kommst du jetzt darauf? Sicherheitslücken entstehen aus Programmierfehlern und Fehler macht jeder. Die Frage ist nur, wie schnell wird darauf reagiert - Microsoft patched seine Programme nur einmal im Monat, außer es ist etwas wirklich dramatisches. Valve hat schnell reagiert dass der Fix in der Beta bereits drin ist, dürfte nur ein paar Tage dauern bis sie auch in der normalen kommt. Außerdem gibt es bisher keine Anzeichen, dass die Lücke aktiv genutzt wird. Ergo: erstmal alles nicht so dramatisch, vor allem da sich der Steam-Client Zwangsupdated, nicht wie Java oder Flash manuelle oder nur mit ständigem nerven. Dass die Kommunikation unglücklich gelaufen ist steht außer Frage, dass muss Valve verbessern. Aber sie dass sie nun "nicht mehr zu den guten gehören" (wie auch immer man das auslegt) sehe ich dadurch nicht beschädigt.
Ich mag Valve auch, aber von "schnell reagiert" kann man hier wohl auch nicht wirklich reden. Hat ja jetzt auch fast nen Monat gedauert...
Naja, Valva hat nie zu "den Guten" gehört, eher zu den Publikumslieblingen, aber das ist ein ganz anderes Thema. Die wenigstens Sichereheitslücken in Java oder Flash wurden übrigens tatsächlich ausgenutzt, was die Lücke an sich allerdings nicht besser macht. Das Ticket, wie beschrieben, erstmal zu ignorieren (im Sinne von Nicht-Reagieren), dann automatisch zu schließen und erst auf neuerliche Nachfrage zu reagieren ist allerdings in der Tat nicht besonders schön. Macht Valve nicht automatisch böse, aber so harmlos ist es auch nicht, nur weil es Valve war.
Auch hier wieder ein Fall von Doppelmoral - bei Java oder Flash oder was auch immer wäre der Aufschrei groß, hier geht es um Valve und schon ist alles halb so schlimm? Ehrlich, dieses mit zweierlei Maß messen, je nachdem obs eine Firma ist die man mag oder nicht finde ich schon ziemlich anstrengend.
Da kann man nur umfassend zustimmen.
Es ist interessant zu sehen, dass ich immer belächelt wurde, wenn ich in der Vergangenheit darauf hinwies, dass Steam sich selbst Zugriff auf Systemprozesse gewährt. Mit ein Grund warum man es mittlerweile nur schwer installieren kann, wenn man eine strikte Rechtetrennung hat.
Man stelle sich mal vor, Origin würde Zugriff auf Systemprozesse nehmen. Oder gucken, ob Daten in einem Ordner sind. Das würd einen Aufschrei geben.
Wie schon oben geschrieben, einfach mal "Steam" durch Origin-Konkurrent ersetzen und sehen was passiert. :D
So funktioniert der Mensch eben. Wer einmal konvertiert ist, der redet zukünftig alle Kritik klein. Die zweierlei Maß merkt er da gar nicht, egal ob es nun um Steam, Apple oder Scientology geht; im Grundsatz sind das alles dieselben Prozesse.
Ich selber bin natürlich immun. ;)
Bei Flash und dem Java-Plugin (nicht Java Runtime selbst) ist es aber schlimmer, da ich als User bei aktiviertem Plugin auf einer x-beliebigen (bösen) Seite einem Angriff ausgesetzt bin.
Bei Steam muss das Programm ja im Portfolio sein und von Valve angeboten werden (d.h. es sollte auch einer Kontrolle unterzogen worden sein)!
Das ist so nicht richtig. Jede beliebige Anwendung auf dem System kann auf ein laufendes Steam zugreifen und die Sicherheitslücke ausnutzen.
Grade Microsoft hat aber im Laufe der vielen Jahre akzeptiert, wie wichtig es ist, auf solche Sicherheits-Hinweise von außen zu reagieren und responsible disclosure-Geschichten nicht unbewantwortet auslaufen zu lassen. Wenn du denen ne einigermaßen ernsthafte Sicherheitslücke schickst, kannst du davon ausgehen, dass drauf reagiert wird und vielleicht sogar mit dir zusammengearbeitet wird, um das Problem zu beheben. Allerdings hat Microsoft auch nen paar Jahrzenhte Zeit gehabt, um das zu lernen und hat in der Zeit auch ordentlich Lehrgeld bezahlt.
Dramaqueen.
Das Thema Sicherheit sollte Steam ein bisschen ernster nehmen. Ist ja wohl ein Witz. Aber gut, so kommt ja jetzt Bewegung in die Sache.
Ansonsten: Software hat Fehler, immer! Das Steam einen Bug hat (auch wenn er hier kritisch ist) ist kein Weltuntergang.
Und wieder mal ein Argument warum ich DRM und Steam boykottiere. Ein Geschäftsmodell, daß zahlungswillige, ehrliche Kunden ausschließt die DRM strikt ablehnen, ist doch dumm. Ich werde nie hinnehmen, daß ich fürs gleiche Geld nur eine Leihversion bekomme, die mir ohne I-Net nichts bringt. (oder bei Steam Pleite)
Was bitte spricht dagegen, wenigstens am ENDE der Verwertungskette, eine Complete Version mit allen DLCs Add Ons für Sammler und DRM Hasser zu releasen ? Kann dann gern den gleichen Preis haben wie ganz am Anfang. Und wenn denn Herren Publishern das auch zu viel ist, dann wäre es schön, wenn es immer am Ende der Verwertungskette einen legalen Crack gäbe.
Denn ich kann leider nicht hinnehmen, daß mein Produkt so viel kostet wie früher und ohne I-Net wertlos ist. Von der Spionage will ich gar nicht reden.
hab mich leider verschrieben: so stimmts: "Was bitte spricht dagegen, wenigstens am ENDE der Verwertungskette, eine Complete Version ohne Steam und DRM, mit allen DLCs für Sammler und DRM Hasser zu releasen ?
So hätten die Publisher die Vorteile des Steam Zwangs und würden ZUSÄTZLICH Gewinne von DRM Boykottierern wie mir lukrieren. Alternativ wäre ein legaler Crack am Ende der Verwertungskette auch ok, falls die erste Variante zu kostenintensiv sein sollte. Denn ich will zwingend ein (Singlepl.) Spiel das OHNE Internet funktioniert. Und so gehts vielen.
Es gibt DRM-freie Spiele auf Steam. Das entscheidet der Publisher, ob er die DRM-Funktionen nutzt.
Steam ist DRM. Daran ändern auch Freundeslisten und Ingamebrowser nichts.
1. Nein.
2. Freundeslisten und Ingamebrowser sind dafür ziemlich irrelevant.
Na, wenn Steam sagt dass es kein DRM ist, dann muss es ja stimmen.
Ich kann die Liste hier auch nochmal posten:
http://steam.wikia.com/wiki/List_of_DRM-free_games
Und nu? Was willst du mir jetzt damit sagen? Steam ist kein DRM, weil man über Steam Programme installieren kann, die auch ohne Steam laufen? Sowas nennt der Philosoph einen Trugschluss.
Deine Behauptung: Steam *ist* DRM.
Meine Erwiderung: DRM-freie Spiele auf Steam, da CEG nur eine Teilmenge von Steam ist.
Wie ist jetzt mein Beweis einer anderen Teilmene (nicht CEG) der Gesamtmenge Steam und damit deine Behauptung von Deckungsagleichheit widerlegt, ein Trugschluss? Darauf bin ich gespannt.
Oder um es zu verdeutlichen: Stühle sind aus Holz. -> Ich habe einen Stul aus Plastik. -> Was ändert das an den Holzstühlen? Trugschluß! .............
Dein Stuhl steht auf wackeligen Beinen. Steam ist, wenn ich einen Holzstuhl im Flur stehen haben muss, damit die Möbelpacker mir den Plastikstuhl ins Wohnzimmer stellen. Ich möchte zwar gar keinen Holzstuhl im Flur haben, ohne den verkaufen sie aber den aus Plastik gar nicht. Gut, ich kann auf dem Plastikding hinterher trotzdem sitzen. Davon geht das Mistding auf dem Flur aber auch nicht weg.
Nein, denn ein Downloadclient alleine ist noch kein DRM.
Da waren auch kein Erklärung drin, warum da ein Trugschluss gewesen sein soll, sondern nur der Versuch den Vergleich umzudeuten, ohne eine Ahnung was DRM bedeutet.
Vielleicht solltest du außer "DRM" auch noch "Trugschluss" nachschlagen.
Welchen Trugschluss wirfst du mir denn genau vor? Es gibt ja viele verschiedene. Und warum konntest du mir keine Anwort auf meine Frage nennen, sondern beharrst nur darauf, dass es einen gibt? So wenig Substanz....
Genau den, den ich oben aufgeführt habe:
"Steam ist kein DRM, weil man über Steam Programme installieren kann, die auch ohne Steam laufen? Sowas nennt der Philosoph einen Trugschluss."
Was ist daran unverständlich? Es ist ein Trugschluss, dass Steam kein DRM ist, nur weil man über Steam auch Programme installieren kann, die später über Steam laufen.
So wenig Substanz? Erst mal vor der eigenen Hütte kehren.
Du formulierst, wie es dir passt, meine ursprüngliche Aussage war: Es gibt DRM-freie Spiele auf Steam. Woraufhin du schreibst: Steam *ist* DRM. Das habe ich dir widerlegt - indem ich dir Spiele aufgezeigt habe, bei denen Steam eben kein DRM ist. Es *kann* auch DRM sein, wenn der Publisher das will. Viele Publisher wollen das. Manchen ist das zuviel Arbeit.
DRM ist eben nicht da, wenn du nach dem Download das Spiel einfach kopieren und woanders verwenden kannst ohne "nach Hause" telefonieren zu müssen. Sonst wäre ja auch der GOG-Downloader DRM.
Ich verstehe auch nicht wo du hier ein Verständnisproblem hast. Du hast eine absolute Aussage getroffen, die ich dir mit Gegenbeispielen widerlegt habe. Jetzt behauptest du, diese Beispiele würden nichts zu Sache tun.
DRM-frei bedeutet unter anderem, dass Du Dir ein Spiel herunterladen und es jederzeit installieren und spielen kannst.
Versuch mal, auf einem frisch installierten System Deine Steam-Spiele ohne Internetverbindung zum Laufen zu bekommen.
http://steam.wikia.com/wiki/List_of_DRM-free_games
Und jetzt?
Witzigerweise funktioniert HL2 unter Linux sogar ohne Steam. Ziemliche Ironie.
Nun, das war mir nicht bekannt. Bei diesen Spielen könnte man Steam also als "Downloader" ansehen.
Dennoch handelt es sich nur um einen Bruchteil des Spiele-Katalogs. Bei den meisten wirst Du mindestens Steamworks als DRM haben.
Richtig, das entscheidet der Publisher. Würde ja auch keinen Sinn machen, alle dazu zu zwingen Steams DRM zu nutzen. Gerade für kleine/alte Spiele lohnt sich die Anpassung mal überhaupt nicht.
Danke für die Liste.
Ich will mein Spiel vom Datenträger installieren, OHNE Internet, ohne Registrierungszwang, Schnüffelei der Industrie, mit allen DLCs und Add Ons.
Mir ist klar, daß viel dagegen spricht aus Publisher Sicht. Aber 2 Jahre nach Release könnte man dann wenigstens bei den Budget Versionen auf den DRM, Steam, always on, Origin Dreck verzichten.
Im Grunde stellt sich nur eine Frage: Wieviel Geld entgeht den Publishern weil Sie zahlungswillige Kunden vergraulen ? Bei mir allein sinds mittlerweile hunderte Euro.
Ohne Internet wird schwer. GoG hat einen guten, wachsenden Marktanteil bei Indies und älteren Spielen, die Publisher könnten da zur "zweitverwertung" vermehrt releasen,aber ohne einmal Internet zum Downloaden ist da halt auch nix.
Retail ist halt immer mehr auf dem absteigenden Ast.
Das heißt, die Humble Bundles oder GoG kommen für Dich auch nicht in Frage? Schließlich kommst Du da auch nicht ohne Internet an die Spiele.
Was genau hindert Dich daran, die DRM-freien Spiele bei Steam aus dem Order zu sichern und dann ohne den Steam-Client zu nutzen?
Die eigene Faulheit. ;)