l+f: Half-Life bringt PCs in Gefahr
Achtung: Gordon Freeman kann Ihrem PC ernsthaften Schaden zufügen!
Wer spielt heute noch den legendären Ego-Shooter Half-Life? Vorsicht: Angreifer könnten Schadcode durch eine Sicherheitslücke schieben und Windows-PCs mit Malware infizieren – auch wenn das Risiko für eine Attacke wahrscheinlich eher gering ist
Die Lücke (CVE-2023-30382) ist mit dem Bedrohungsgrad "hoch" eingestuft. Ein lokaler Angreifer könnte daran ansetzen und aufgrund von unzureichenden Überprüfungen der ausführbaren Datei hl.exe präparierte Start-Parameter unterschieben. Deren Verarbeitung führt zu einem Speicherfehler (Buffer overflow) und ein Angreifer könnte sich die Rechte des Windows-Nutzers aneignen, der das Spiel startet.
Dem Beitrag eines Sicherheitsforschers zufolge [1] soll der Fehler in Half-Life 2 und Team Fortress 2 bereits gepatcht sein. Half-Life ist aber nach wie vor verwundbar. Eine Anfrage des Sicherheitsforschers an Valve blieb bislang unbeantwortet. Um sich zu schützen, müssten Spieler den Titel deinstallieren. Oder den Zugriff auf C:\Program Files (x86)\Steam\userdata\<steamID3>\config\localconfig.vdf einschränken, sodass keine Manipulation stattfinden kann.
lost+found [2]
Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.
Alle l+f Meldungen in der Übersicht [3]
(des [4])
URL dieses Artikels:
https://www.heise.de/-9066524
Links in diesem Artikel:
[1] https://labs.jumpsec.com/advisory-cve-2023-30382-half-life-local-privilege-escalation/
[2] https://www.heise.de/thema/lost%2Bfound
[3] https://www.heise.de/thema/lost%2Bfound
[4] mailto:des@heise.de
Copyright © 2023 Heise Medien