1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Hackerone: Sicherheitslücke in Steam…

"Früher" hat man Lücken einfach gepostet

  1. Thema

Neues Thema Ansicht wechseln


  1. "Früher" hat man Lücken einfach gepostet

    Autor: bummelbär 09.08.19 - 14:18

    Und zwar überall. Und schon musste der Hersteller seinen Arsch hoch kriegen. Und heute macht man im Verheimlichungsspiel mit und lässt sich dafür bezahlen.

    Weiß nicht wieso da jetzt Steam am Pranger steht. Man will ja kassieren und die Klappe halten, die wollten jetzt nur nicht zahlen.

    Und das ist also schlecht?



    1 mal bearbeitet, zuletzt am 09.08.19 14:19 durch bummelbär.

  2. Re: "Früher" hat man Lücken einfach gepostet

    Autor: DWolf 09.08.19 - 14:29

    Jein.
    Die Bugbounty Programme schützen bei schweren Lücken auch normale Nutzer ein Stück weit.

    Wenn alle 0-Days von Tag 1 an öffentlich rumgeistern wärs doch für alle ungemütlicher und es gäbe keine Chance das in einem angemessenen Rahmen zu fixen.
    Wenn Hersteller allerdings schlampen oder das ignorieren, ist das Veröffentlichen der nächste logische Schritt.

    Ich muss keine alten Autos fahren, ich will.

  3. Re: "Früher" hat man Lücken einfach gepostet

    Autor: -Jake- 09.08.19 - 15:21

    Mit zunehmend komplexerer Software kann es durchaus mal einige Tage in Anspruch nehmen bis man die Lücke vollständig nachvollzogen und gepatcht hat. Danach sollte man das auch noch testen, ob das Problem (in allen Variationen) richtig behoben ist und ob man sich damit evtl. andere Lücken oder Bugs einhandelt. Wenn ja, nochmal zurück zu Schritt 1...
    Da ist es schon gut wenn die Entwickler etwas Vorlaufzeit bekommen und der Patch direkt verfügbar ist, dann können die Nutzer auch direkt handeln wenn die Aufmerksamkeit am größten ist.

  4. Re: "Früher" hat man Lücken einfach gepostet

    Autor: \pub\bash0r 09.08.19 - 15:39

    bummelbär schrieb:
    --------------------------------------------------------------------------------
    > Weiß nicht wieso da jetzt Steam am Pranger steht. Man will ja kassieren und
    > die Klappe halten, die wollten jetzt nur nicht zahlen.

    Wenn das so gewesen wäre, hätten sie sich für's Reporting bedankt und dafür entschuldigt, dass sie aufgrund der Regeln nicht dafür bezahlen werden. Die Lücke würde man aber trotzdem schließen.
    Noch besser wäre natürlich gewesen ausnahmsweise einfach doch zu zahlen.
    Wenn hingegen kommuniziert wird, dass man die Lücke nicht anerkennt, liegt schon nahe, dass man auch wenig Interesse an einem Fix hat. Ergo: Veröffentlichung. Sonst lernen sie es ja nie.

  5. Re: "Früher" hat man Lücken einfach gepostet

    Autor: Hotohori 09.08.19 - 18:01

    \pub\bash0r schrieb:
    --------------------------------------------------------------------------------
    > bummelbär schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Weiß nicht wieso da jetzt Steam am Pranger steht. Man will ja kassieren
    > und
    > > die Klappe halten, die wollten jetzt nur nicht zahlen.
    >
    > Wenn das so gewesen wäre, hätten sie sich für's Reporting bedankt und dafür
    > entschuldigt, dass sie aufgrund der Regeln nicht dafür bezahlen werden. Die
    > Lücke würde man aber trotzdem schließen.
    > Noch besser wäre natürlich gewesen ausnahmsweise einfach doch zu zahlen.
    > Wenn hingegen kommuniziert wird, dass man die Lücke nicht anerkennt, liegt
    > schon nahe, dass man auch wenig Interesse an einem Fix hat. Ergo:
    > Veröffentlichung. Sonst lernen sie es ja nie.

    Zumal die Lücke eben nicht so harmlos ist wie Valve es darstellt.

    Ich meine ich kann verstehen, dass man sagt, dass man Lücken ausnimmt, für die man lokalen Zugriff auf den Computer braucht, da es dann erheblich schwerer wird diese Lücke auszunutzen, aber das ist hier ja nicht der Fall. Eine Drittsoftware kann diese Lücke ausnutzen und dafür muss nur der Nutzer diese runterladen, da braucht kein Dritter lokalen direkten Zugriff auf den Computer.

  6. Re: "Früher" hat man Lücken einfach gepostet

    Autor: Raenef 09.08.19 - 19:24

    Bummelbär hatte den gleichen Gedanken wie ich,

    Nur geht sowas über die Plattform

    Eine PM mit wir kümmern uns sicher

    Aber den Vorgang schließen etc

  7. Re: "Früher" hat man Lücken einfach gepostet

    Autor: Porterex 09.08.19 - 21:39

    Hotohori schrieb:
    --------------------------------------------------------------------------------
    > Eine Drittsoftware kann diese Lücke ausnutzen und dafür muss nur der Nutzer
    > diese runterladen, da braucht kein Dritter lokalen direkten Zugriff auf den
    > Computer.

    Ja toll. Ich lade mir einen Verschlüsselungs-Trojaner runter und führe ihn aus und mache dann Microsoft dafür verantwortlich, dass ich nicht mehr an meine Daten komme, da der Trojaner meine Daten verschlüsselt hat.

  8. Re: "Früher" hat man Lücken einfach gepostet

    Autor: bccc1 09.08.19 - 21:53

    Treffender Vergleich wäre, das dein Trojaner nicht nur deine Daten verschlüsselt, sondern auch die deiner Familienmitglieder auf deren Ordner du mit deinem eingeschränkten Konto gar kein Schreibzugriff hattest.

  9. Re: "Früher" hat man Lücken einfach gepostet

    Autor: Frostwind 10.08.19 - 20:50

    cat %system32%\calc.exe > %programfiles%\steam\bin\steamservice.exe
    Reboot
    Log on, start steam
    BAM! Now you have calc.exe (attempted to) run as System with highest local privileges

    Quelle: https://github.com/roflsandwich/Steam-EoP

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Sagemcom Dr. Neuhaus GmbH, Rostock
  2. MEIERHOFER AG, München, Passau, Berlin
  3. msg DAVID GmbH, Braunschweig
  4. AUMA Riester GmbH & Co. KG, Müllheim

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 8,99€
  2. 22,99€
  3. 24,49€
  4. 7,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


CoD, Crysis, Dirt 5, Watch Dogs, WoW: Radeon-Raytracing kann auch schnell sein
CoD, Crysis, Dirt 5, Watch Dogs, WoW
Radeon-Raytracing kann auch schnell sein

Wer mit Raytracing zockt, hat je nach Titel mit einer Radeon RX 6800 statt einer Geforce RTX 3070 teilweise die besseren (Grafik-)Karten.
Ein Test von Marc Sauter


    RCEP: Warum China plötzlich auf Freihandel setzt
    RCEP
    Warum China plötzlich auf Freihandel setzt

    China und andere wichtige asiatische Herstellerländer von Elektronikprodukten haben ein Freihandelsabkommen geschlossen. Dessen Bedeutung geht weit über rein wirtschaftliche Fragen hinaus.
    Eine Analyse von Werner Pluta

    1. Berufungsverfahren in weiter Ferne Tesla wirbt weiter mit Autopilot
    2. Warntag BBK prüft Einführung des Cell Broadcast neben Warn-Apps
    3. Bundesverkehrsministerium Keine Abstriche beim geplanten Universaldienst

    Geforce RTX 3060 Ti im Test: Die wäre toll, wenn verfügbar-Grafikkarte
    Geforce RTX 3060 Ti im Test
    Die "wäre toll, wenn verfügbar"-Grafikkarte

    Mit der Geforce RTX 3060 Ti bringt Nvidia die Ampere-Technik in das 400-Euro-Segment. Dort ist die Radeon RX 5700 XT chancenlos.
    Ein Test von Marc Sauter

    1. Supercomputer-Beschleuniger Nvidia verdoppelt Videospeicher des A100
    2. Nvidia Geforce RTX 3080 Ti kommt im Januar 2021 für 1.000 US-Dollar
    3. Ampere-Grafikkarten Specs der RTX 3080 Ti und RTX 3060 Ti