/ Security / Valve schließt XSS-Schwachstelle in Spiele-Marktplatz Steam

Valve schließt XSS-Schwachstelle in Spiele-Marktplatz Steam

reddit-dteam-exploit-f93679be7f7794a0.png
Moritz Rosenfeld on February 10, 2017 - 4:27 pm in Security

Über eine XSS-Lücke hätten Angreifer das Steam-Guthaben von Opfern plündern können, die das Steam-Profil des Angreifers besuchen.

Seit einigen Tagen kursierten Gerüchte über eine Sicherheitslücke im Spiele-Marktplatz Steam. Nachdem Nutzer des Dienstes Details zu dem Exploit veröffentlicht haben, hat Valve die Lücke nun geschlossen. Davor war es möglich, in bei Steam eingestellten Spiele-Guides JavaScript-Code einzubetten, der den Steam-Client von Nutzern manipuliert, die diesen Guide anzeigen. So soll es auch möglich gewesen sein, Steam-Profilseiten zu manipulieren.

Klau von Steam-Guthaben

Steam ist der weltgrößte Online-Marktplatz für PC-Spiele mit mehr als 120 Millionen Nutzern. Die Plattform kann im Browser genutzt werden und große Teile der Client-Software für Windows, macOS und Linux bestehen ebenfalls aus einem eigenen Browser, der Webseiten anzeigt und ebenfalls für typische Web-Schwachstellen anfällig ist. In diesem Fall handelte es sich um Cross-Site-Scripting (XSS).

Angreifer hätten die Lücke missbrauchen können, um Opfer auf bösartige Nicht-Steam-Seiten umzuleiten oder um deren Steam-Guthaben für den Kauf von beliebigen Marketplace-Artikeln zu plündern. Zwei-Faktor-Authentifizierung würde das Opfer in diesem Fall nicht schützen, da der Angreifer eine aktive Session mit gültiger Anmeldung kapert.

Gabens Bannstrahl

Steam-Betreiber Valve Software wollte sich gegenüber heise Security nicht zu der Sicherheitslücke äußern, aus Firmen-nahen Quellen haben wir allerdings erfahren, dass die Lücke wirklich existierte und es unter Umständen weiter Schwachstellen gibt, die noch nicht geschlossen wurden. Experimentierfreudige Nutzer sollten äußerste Vorsicht walten lassen, solche Exploits auszuprobieren. Uns ist zu Ohren gekommen, dass Valve die Konten von Nutzern komplett gesperrt oder wenigstens mit einem Community Ban belegt hat, wenn diese den Exploit-Code in Steam-Seiten eingebaut haben. (fab)

Read more on: Source

Comments are disabled