Post by NightHawk on Mar 4, 2008 16:57:05 GMT 1
Dienstag, 04. März 2008
Sicherheitslücke im Ego-Shooter Crysis entdeckt
von xylen für WinFuture.de
Laut einem Bericht der Kollegen von heise Security, wurde im Ego-Shooter Crysis eine Sicherheitslücke entdeckt. Diese könnte genutzt werden, um fremden Code auszuführen oder zumindest andere Clients zum Absturz zu bringen.
Im Internet kursiert bereits eine Demonstration der Sicherheitslücke, doch von den Entwicklern aus dem Hause Crytek gibt es noch keinen Patch. Bei der Schwachstelle soll es sich um eine so genannte Format-String-Schwachstelle handeln, die immer dann auftritt, wenn eine interne Debug-Nachricht erstellt wird.
Laut der Demonstration reicht es aus, wenn der Nutzer seinen Namen so ändert, dass er Formatanweisungen enthält. Gibt man anschließend über die Konsole den Befehl "kill" ein, sollen alle Clients, die mit dem aktuellen Multiplayer-Server verbunden sind, abstürzen.
Angeblich soll sich die Sicherheitslücke auch zum Einschleusen von Schadcode nutzen lassen, jedoch gibt es dafür bisher noch keinen Beweis. Die Sicherheitsexperten von Secunia empfehlen, den Multiplayermodus nur im lokalen Netzwerk mit vertrauenswürdigen Freunden zu nutzen.
Weitere Informationen: Demonstration auf www.milw0rm.com
Sicherheitslücke im Ego-Shooter Crysis entdeckt
von xylen für WinFuture.de
Laut einem Bericht der Kollegen von heise Security, wurde im Ego-Shooter Crysis eine Sicherheitslücke entdeckt. Diese könnte genutzt werden, um fremden Code auszuführen oder zumindest andere Clients zum Absturz zu bringen.
Im Internet kursiert bereits eine Demonstration der Sicherheitslücke, doch von den Entwicklern aus dem Hause Crytek gibt es noch keinen Patch. Bei der Schwachstelle soll es sich um eine so genannte Format-String-Schwachstelle handeln, die immer dann auftritt, wenn eine interne Debug-Nachricht erstellt wird.
Laut der Demonstration reicht es aus, wenn der Nutzer seinen Namen so ändert, dass er Formatanweisungen enthält. Gibt man anschließend über die Konsole den Befehl "kill" ein, sollen alle Clients, die mit dem aktuellen Multiplayer-Server verbunden sind, abstürzen.
Angeblich soll sich die Sicherheitslücke auch zum Einschleusen von Schadcode nutzen lassen, jedoch gibt es dafür bisher noch keinen Beweis. Die Sicherheitsexperten von Secunia empfehlen, den Multiplayermodus nur im lokalen Netzwerk mit vertrauenswürdigen Freunden zu nutzen.
Weitere Informationen: Demonstration auf www.milw0rm.com
