Steam dürfte den meisten PC-Gamern ein Begriff sein. Die Online-Plattform des Spieleherstellers Valve hat nicht nur eine enorm weite Verbreitung, sondern gilt auch als erfolgreichste Plattform für den Spielevertrieb. Steam bietet aber noch mehr als nur die Möglichkeit zu spielen, etwa ist im Client ein kompletter Browser integriert.

Die Sicherheitsforscher Luigi Auriemma und Donato Ferrante haben nun eine kritische Sicherheitslücke in der Browser-Implementierung von Steam gefunden (PDF-Download). Steam installiert mit dem Client einen Protokoll-Handler auf dem System. Klickt ein Nutzer auf einen Link, der mit „steam://“ beginnt, übergibt der Browser den Link an den Steam-Client. So kann man etwa gekaufte Spiele installieren, sich mit Spieleservern verbinden oder Einkäufe aktivieren.

Laut den beiden Forschern lässt sich der Protokoll-Handler aber auch nutzen, um Dateien, die lokal vorhanden sind, zu installieren und anschließend Fehler darin auszunutzen. So zeigen sie etwa, wie sie über einen Remote-Befehl die Source-Engine von Valve auf dem System installieren, um die Installation anschließend für eine Attacke auszunutzen. Dieses Video auf Vimeo zeigt, wie der Missbrauch der Lücke in der Praxis funktioniert.

Die beiden Forscher empfehlen Nutzern, den Steam-Protokoll-Handler zu deaktivieren oder genau darauf zu achten, was die Steam-Links starten. Sie haben mehrere Browser getestet und melden, dass der Internet Explorer und Google Chrome dem Nutzer eine deutliche Warnung anzeigen. Andere Browser dagegen geben weniger oder keine Information darüber, welche Aktionen ein Klick auf den Link ausführt. Da es sich um legitime Funktionen von Steam handelt, kann Valve als Hersteller wenig tun. Die Forscher empfehlen, dass Steam künftig keine Kommandozeilenbefehle an Software von Drittherstellern übergibt. Zudem sollten Spielehersteller ihre Produkte absichern und gegen Angriffe schützen.

Valve und Steam-Nutzer sollten die Warnungen in jedem Fall ernst nehmen. Denn geht es nach den Plänen des Herstellers, soll die Plattform künftig deutlich mehr Kunden ansprechen als nur Gamer. Seit kurzem lässt sich über Steam beispielsweise auch „richtige“ Software kaufen. Dazu kommt die Big-Picture-Initiative, mit der PC-Spiele für das Wohnzimmer fit gemacht werden sollen. 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.